Épisode 1 : Les analystes contre-attaquent : le retour du Darkweb.

Le CERT XMCO se sont des analystes qui sont comme une tour de contrôle pour nos clients. Ils identifient les menaces qui peuvent peser sur nos clients, notamment celles qui sont sur le darkweb.  

Chez XMCO, on dit que les analystes vont à la recherche de pépites. Ils vont creuser, analyser, investiguer et remonter des infos contextualisées. Ce qui dans la majorité des cas permet d’éviter des problèmes et incidents de sécurité. 

Aujourd’hui on fait des recherches pour des comptes publics ou privés et surtout des entreprises du domaine de la santé, de la finance, assurance ou encore l’industrie. 

Quels réseaux et quelles menaces ?  

Les types de données disponibles sur le Deep et Dark Web. 

On y trouve beaucoup de types de données différentes, mais nous avons voulu sélectionner les principaux types :  

Les comptes compromis avec en risques principaux la revente d’accès et la compromission du SI. Ils sont vendus quelques centaines de dollars à d’autres acteurs malveillants. 

Les données critiques avec en risques la revente d’informations sensibles, la compromission du SI ou encore des amendes RGPD. Elles peuvent être des données RH ou des données concernant le SI. Elles peuvent être mises à disposition de manière gratuite pour attirer les clients. 

En troisièmes risques nous avons voulu mettre informations principales avec les informations personnelles. Le principal risque est de faire face à des opérations d’ingénierie sociales.  

Les meilleures sources du Deep et Dark Web, surveillés en continu 

Les forums francophones : ils sont intéressants, car une grande partie de nos clients sont français.  

Forums spécialisés : ce sont les plus connus, les plus importants et les plus professionnalisés. Ces forums sont généralement russophones. 

Des places de marchés : on pense notamment à Genesis  

Forums grand public : Ils sont moins professionnalisés, mais on y trouve beaucoup de choses.  

En plus de ces plateformes nous suivons également des fils de conversations telegram et Lockbit. 

Comment dénicher des pépites ?  

1. L’approche du CERT-XMCO : entre automatisation et traitement humain 

Tout d’abord, il y a un élément d’automatisation continue, à travers une veille continue. Nous rentrons des sources que nous scrollons avant de les faire matcher des Mots-Clés, Ips, DNS. 

Il y aura ensuite le travail des analyses sur les données publiées ou encore à travers des prises de contact en direct avec les acteurs malveillants.  

Cas d’usages présentés  

1 – Prise de contact avec un attaquant pour obtenir des informations  

2 – Surveillance des plateformes de vente d’accès compromis 

3 – Analyse de données clients publiées sur un forum du Deep Web 

4 – Découverte d’une compromission lors d’une discussion avec un attaquant  

5 – Suivi Darkweb suite à une compromission  

6 – Compromission d’un prestataire  

Serenety c’est 200 alertes envoyées ces derniers mois, 72% de ces alertes étaient critiques ou élevées. Serenety c’est aussi 21000 requêtes effectuées tous les jours sur le deep et dark web. Enfin Serenety c’est 192 sources actives suivies.