La revente d'accès piratés, un marché toujours en croissance

Sécurité : La publication sur le dark web de messages proposant des identifiants VPN et RDP compromis, ainsi que d'autres moyens de pénétrer dans des réseaux, ont triplé l'année dernière.

Par Danny Palmer | Vendredi 03 Décembre 2021

Les cybercriminels sont de plus en plus nombreux à vendre des accès à des réseaux d'entreprise compromis, cherchant à tirer profit de la demande croissante de réseaux vulnérables de la part de groupes qui cherchent à lancer des attaques par ransomware.

Des chercheurs de l'entreprise de cybersécurité Group-IB ont analysé l'activité sur les forums clandestins et constaté une forte augmentation du nombre d'offres de vente d'accès à des réseaux d'entreprise compromis.

Le nombre de messages de ce type a triplé entre 2020 et 2021.

Une tendance nette

Ils prétendent proposer un accès à des réseaux privés virtuels et à des accès de bureau à distance (RDP) compromis, ainsi qu'à des web shell, reverse shell, outils de test d'intrusion Cobalt Strike et bien plus encore.

Grâce à ces accès, les cybercriminels peuvent accéder aux réseaux d'une entreprise et tenter d'obtenir des noms d'utilisateur et des mots de passe ou des droits d'administrateur qui leur permettent de prendre davantage le contrôle du réseau.

Sur les forums clandestins analysés, le nombre d'offres de vente d'accès aux réseaux d'entreprise est passé de 362 à 1 099, soit une multiplication par trois en un an seulement, et le rapport avertit que cette augmentation est « l'une des tendances les plus nettes des forums clandestins ».

Un prix variable

Les secteurs les plus concernés par ces reventes d'accès sont l'industrie, l'éducation, la finance et la santé.

Le coût d'un accès varie considérablement. Il peut parfois être proposé pour quelques milliers de dollars – une somme qu'une équipe de ransomware pourrait récupérer plusieurs fois en cas d'attaque réussie. Mais il existe une corrélation directe entre la valeur de l'accès et les revenus de l'entreprise de la victime – plus ses revenus sont élevés, plus le prix est élevé.

L'une des principales raisons de l'augmentation du nombre de vendeurs est la demande qui découle de la croissance des attaques de ransomware. Les groupes de ransomware ont besoin d'accéder aux réseaux et acheter l'accès est plus facile et prend moins de temps que de compromettre les réseaux par eux-mêmes.

« Les opérateurs de ransomware sont les principaux "clients" des services des courtiers en accès initial », explique Dmitry Shestakov, responsable de la recherche sur la cybercriminalité chez Group-IB, à ZDNet. « Cette alliance impie entre les courtiers et les opérateurs de ransomware dans le cadre de programmes d'affiliation de ransomware-as-as-a-service a conduit à l'essor de l'empire du ransomware. »

Le télétravail a facilité le développement de cette cybercriminalité

La croissance du marché des accès compromis s'explique également par le fait que le seuil de compétences est relativement bas pour se livrer à ce type de cybercriminalité. Les cybercriminels moins avertis peuvent utiliser des attaques de phishing ou acheter des logiciels malveillants prêts à l'emploi pour voler des informations.

Le rapport suggère également que l'obtention de cet accès initial est devenue plus facile en raison de l'augmentation du télétravail, qui a conduit de nombreuses organisations à utiliser involontairement des applications non sécurisées ou mal configurées que les cybercriminels peuvent facilement exploiter.

Et tant qu'il y aura des réseaux non sécurisés accessibles et une demande de la part d'autres cybercriminels pour acheter l'accès à ces réseaux, l'essor du marché des courtiers d'accès devrait se poursuivre. « Nous nous attendons à ce que le nombre de courtiers et d'offres d'accès augmente. Comme l'offre augmente pour répondre à la demande, nous nous attendons à ce que le prix de l'accès initial aux réseaux d'entreprise diminue », avertit Dmitry Shestakov. « Les ransomwares resteront le principal moyen de monétiser l'accès aux réseaux d'entreprise, car ils offrent le meilleur retour sur investissement possible. »

Se protéger des attaques en amont

Les organisations peuvent prendre des mesures pour éviter que les cybercriminels ne pénètrent dans le réseau et n'accèdent aux informations d'identification.

Voici les principales mesures de prévention à appliquer :

• installer régulièrement et en temps voulu les mises à jour logicielles et les correctifs de sécurité, pour se protéger contre les vulnérabilités connues ;
• encourager l'utilisation de mots de passe forts, difficiles à percer lors d'attaques par force brute ;
• appliquer une authentification multifactorielle aux comptes afin que, si les identifiants sont compromis, les attaquants aient peu de possibilités de les exploiter.
  
  

Source : ZDNet.com