Le FBI a déclaré vendredi que des milliers d’informations d’identification compromises récoltées sur les réseaux de collèges et d’universités américains circulent sur des forums criminels en ligne en Russie et ailleurs, et pourraient conduire à des violations qui installent des ransomwares ou volent des données.
« Le FBI informe les partenaires universitaires des diplômes d’études collégiales et universitaires américains identifiés annoncés à la vente sur les marchés criminels en ligne et les forums accessibles au public », a déclaré l’agence. « Cette exposition d’informations d’identification sensibles et d’accès au réseau, en particulier les comptes d’utilisateurs privilégiés, pourrait entraîner des cyberattaques ultérieures contre des utilisateurs individuels ou des organisations affiliées. »
Les noms de connexion et les mots de passe sont régulièrement récoltés dans les attaques de phishing, qui peuvent utiliser de fausses allégations de violation de compte ou un argumentaire sur le thème de COVID pour attirer les victimes. Souvent, les acteurs de la menace qui mènent ces attaques vendent les données sur des forums criminels. Les données peuvent ensuite être récupérées par d’autres acteurs de la menace qui se concentrent sur les infections de serveur à des fins de ransomware, de cryptojacking ou d’espionnage.
En 2017, par exemple, le FBI a observé des criminels ciblant des universités pour pirater des comptes .edu en « clonant les pages de connexion des universités et en intégrant un lien de collecte d’informations d’identification dans les e-mails de phishing ». Les acteurs de la menace recevraient alors des informations d’identification compromises directement du serveur de l’université.
Le bulletin de vendredi a répertorié des exemples observés de données de comptes universitaires compromises, notamment :
- Depuis janvier 2022, les forums cybercriminels russes proposaient à la vente ou publiaient pour un accès public les informations d’identification du réseau et les accès au réseau privé virtuel à une multitude d’universités et de collèges américains identifiés à travers le pays, dont certains comprenaient des captures d’écran comme preuve d’accès. Les sites publiant des informations d’identification à vendre affichent généralement des prix variant de quelques milliers de dollars américains.
- En mai 2021, plus de 36 000 combinaisons d’adresses e-mail et de mots de passe (dont certaines peuvent être des doublons) pour des comptes de messagerie se terminant par .edu ont été identifiées sur une plateforme de messagerie instantanée accessible au public. Le groupe qui publie les données compromises semble être impliqué dans le trafic d’identifiants de connexion volés et d’autres activités cybercriminelles.
- Fin 2020, des noms d’utilisateur et des mots de passe de comptes universitaires basés sur le territoire américain avec le domaine .edu ont été trouvés en vente sur le dark web. Le vendeur a répertorié environ 2 000 noms d’utilisateur uniques accompagnés de mots de passe et a demandé que des dons soient versés à un portefeuille Bitcoin identifié. Début 2022, le site contenant les identifiants n’était plus accessible.
Le FBI et les chercheurs indépendants en sécurité recommandent aux informaticiens des universités et d’autres organisations « d’établir et de maintenir des relations de liaison solides avec le bureau extérieur du FBI dans leur région ». Cela peut faciliter la communication entre les parties en cas d’urgence.