Le plaisir n’est pas de la partie pour les grandes sociétés de jeux vidéo et leurs clients, alors qu’un demi-million de cartes d'identité d'employés sont mises en vente sur le Dark Web.
Plus de 500.000 identifiants de connexion liés aux employés de 25 grands éditeurs de jeux ont été trouvés en vente sur divers sites du dark Web, selon un rapport de la société de renseignements sur les menaces KELA. Les cyber criminels ciblent de plus en plus l’industrie du jeu, notamment en récoltant et en vendant des identifiants d’accès dans les systèmes internes de sociétés de jeux de premier plan.
La société a découvert près d’un million de comptes compromis appartenant à des clients et à des employés de grandes sociétés de jeux, dont la moitié ont été mis en vente sur le dark Web au cours de l’année dernière. L’intérêt accru des criminels pour l’industrie du jeu pourrait être attribué en partie à certains effets de la pandémie COVID-19, qui a contraint la plupart des gens à rester chez eux pour y exercer, en ligne, leurs activités sociales, y compris pour les jeux en ligne. Avec des revenus estimés à près de 200 milliards de dollars américains d’ici 2022, il n’est pas étonnant que l’industrie du jeu soit devenue une cible pour les cybercriminels.
KELA surveille les activités sur les bas-fonds de l’internet depuis plus de deux ans et demi et a découvert des comptes compromis qui pourraient donner accès aux systèmes internes de presque toutes les grandes sociétés de jeux. Les comptes en question permettraient d’accéder, entre autres, à des logiciels de gestion de projets, des panneaux d’administration, des réseaux privés virtuels (VPN) et des environnements liés au développement. Les cyber criminels pourraient faire toutes sortes de ravages, allant du vol de secrets d’entreprise, de propriété intellectuelle et de données clients au déploiement de logiciels de rançon sur les machines de l’entreprise, ce qui pourrait entraîner des dommages financiers et des atteintes à la réputation.
En effet, KELA affirme qu’au cours des derniers mois, des criminels ont été observés cherchant à accéder aux réseaux d’un certain nombre de sociétés éditrices de jeux. « Nous avons également détecté un ordinateur infecté (bot) qui possédait des journaux d’identification de nombreux comptes sensibles auxquels les attaquants pouvaient accéder lors de l’achat : SSO, Kibana, Jira, adminconnect, service-now, Slack, VPN, password-manager et poweradmin de la société – tous sur un seul bot – ce qui suggère fortement qu’il est utilisé par un employé de la société ayant des droits d’administrateur », souligne KELA, ajoutant que le prix demandé pour le bot était inférieur à 10 dollars américains.
Malheureusement, comme le souligne également l’entreprise, les employés restent l’un des principaux points d’accès, notamment en raison des fuites d’informations par des tiers. Ces types d’informations d’identification ne sont pas souvent monétisées et peuvent être trouvées librement sur les forums du dark Web. Une partie du problème pourrait être imputée à leur penchant pour la réutilisation des mots de passe.
« Nous avons constaté que ces informations d’identification comprennent également des adresses électroniques de haut niveau telles que celles des employés seniors et des adresses électroniques qui sont généralement un canal important dans l’entreprise – la facturation, les achats, l’administration, les e-mails liés aux ressources humaines, le support et le marketing ne sont que quelques-uns des exemples que nous avons remarqués », indique le rapport.
Les cybercriminels pourraient utiliser ces comptes pour mener diverses campagnes de hameçonnage à la recherche de justificatifs d’identité, y compris ceux qui leur permettraient d’accéder aux parties les plus sensibles du réseau d’une entreprise. Les données de connexion pourraient également être utilisées pour réaliser des escroqueries de type Business Email Compromise (BEC) ainsi que d’autres crimes.