Courtiers d'accès initiaux : le lien indispensable dans la chaîne d'approvisionnement de la cybercriminalité

Les courtiers d'accès initial : le lien indispensable dans la chaîne d'approvisionnement de la cybercriminalité

Par Phil Muncaster • 17 octobre 2024

Cette année est en passe de battre des records pour les groupes de ransomware. L'analyse de la blockchain révèle Les « flux entrants » vers les adresses de cryptomonnaies associées à des criminels ont atteint 460 millions de dollars au premier semestre 2024, contre 449 millions de dollars au cours de la même période l’année dernière. Et le paiement médian des rançons pour certains des groupes de ransomware les plus prolifiques est passé d’un peu moins de 200,000 2023 dollars début 1.5 à 2024 million de dollars mi-juin XNUMX.

Aujourd’hui, les raisons pour lesquelles les groupes de ransomware et la cybercriminalité en général continuent de prospérer sont nombreuses. Mais une grande partie de leur succès repose sur le courtier d’accès initial (IAB), un acteur essentiel de la chaîne d’approvisionnement de la cybercriminalité. Il sera essentiel pour les organisations de trouver un moyen d’atténuer leurs tactiques, techniques et procédures (TTP) si elles veulent minimiser leur exposition aux risques financiers et à la réputation.

Eyes on the Prize

À un niveau très simple, les IAB sont si importants parce qu’ils se concentrent sur une seule chose et le font exceptionnellement bien. En se concentrant uniquement sur la première étape d’une attaque, ils se protègent des forces de l’ordre, ce qu’ils font également en travaillant en privé avec des affiliés de ransomware-as-a-service (RaaS). D’un autre côté, en externalisant à l’IAB le travail fastidieux de sélection des cibles et d’accès aux organisations victimes, d’autres cybercriminels peuvent consacrer plus de temps à étendre leurs efforts.

Lorsqu'ils ne travaillent pas en privé avec des groupes RaaS, les IAB répertorient leurs services sur des forums de piratage, ce qui permet aux chercheurs d'obtenir une image plus éclairée du marché. Selon une nouvelle étude Rapport Cyberint, certains proposent des offres groupées, tandis que d'autres vendent l'accès individuellement, et des personnes de confiance peuvent demander aux acheteurs de les contacter directement sans fournir aucune information.

Le rapport met en évidence trois principaux types d'IAB. Ceux qui vendent l'accès à :

Systèmes compromis par des portes dérobées et autres logiciels malveillants installés sur des ordinateurs en réseau
Serveurs compromis par une attaque par force brute du protocole RDP (Remote Desktop Protocol)
Périphériques réseau compromis, tels que les serveurs VPN et les pare-feu, qui constituent un tremplin vers le réseau d'entreprise

Selon Cyberint, l'accès RDP était le plus courant en 2023, représentant plus de 60 % des listes IAB. Cependant, jusqu'à présent cette année, l'accès RDP (41 %) a été remis en cause par la compromission du VPN (45 %).

Les autres types d’accès incluent :

Courriel Souvent via des informations d'identification compromises, ce qui permet aux attaquants de lire, d'envoyer et de manipuler des e-mails
Base de données: Via des identifiants volés ou une exploitation de vulnérabilité
Webshell : Il s'agit de scripts qui permettent aux acteurs malveillants d'administrer/exécuter à distance des commandes sur un serveur ciblé.
Accès au shell/à la ligne de commande : Fournir une interface de ligne de commande à un système compromis, qui permet l'exécution directe des commandes
Partages de fichiers : Accès aux lecteurs partagés et aux serveurs de fichiers, souvent via des informations d'identification compromises ou un mouvement latéral

Les IAB peuvent également répertorier leurs ventes par type de privilège (administrateur de domaine, administrateur local ou utilisateur de domaine), l'accès privilégié le plus élevé étant plus coûteux. Bien que l'accès à certains environnements précieux puisse donner lieu à des listes dont le prix dépasse 10,000 500 $, la plupart des publications IAB se situent entre 2000 $ et 60 1,295 $. Cela indique la nature marchande du marché. En fait, bien que les IAB se concentrent de plus en plus sur les victimes des entreprises à revenus élevés, le prix moyen des listes a chuté de XNUMX % par an pour atteindre XNUMX XNUMX $, selon Cyberint.

Les IAB vont-ils s’en prendre à votre organisation ?

Plus d'un quart (27 %) des listes analysées par Cyberint en 2024 concernaient des accès à des organisations dont le chiffre d'affaires dépassait 1 milliard de dollars. En fait, le chiffre d'affaires moyen des victimes jusqu'à présent cette année est de 1.9 milliard de dollars. Mais cela ne signifie pas que les petites organisations sont exemptées de toute responsabilité, selon Adi Bleih, chercheur en sécurité chez Cyberint.

« Au premier semestre 2024, nos données révèlent que les organisations dont le chiffre d’affaires est inférieur à 10 millions de dollars représentaient 18.5 % de toutes les listes d’accès sur les principaux forums underground. Cela signifie que près d’une organisation ciblée sur cinq est une PME, ce qui met en évidence un risque important pour ce secteur », explique-t-il à ISMS.online.

« Si l’on considère plus largement les entreprises de taille moyenne dont le chiffre d’affaires se situe entre 10 et 100 millions de dollars, 29.5 % de toutes les organisations ciblées se situent dans cette fourchette. Cela signifie que les entreprises gagnant moins de 100 millions de dollars représentent 48 % de toutes les cibles initiales des courtiers en accès. »

Ailleurs, les entreprises américaines sont les plus susceptibles d'être dans le collimateur, représentant près de la moitié (48 %) des listes IAB étudiées. Elles sont suivies par la France, le Brésil, l'Inde et l'Italie. Cependant, le Royaume-Uni étant l'une des deux principales cibles des ransomwares, les RSSI britanniques ont de quoi rester éveillés la nuit. Selon le rapport, les secteurs les plus ciblés sont les services aux entreprises, la finance, la vente au détail, la technologie et l'industrie manufacturière. Cette dernière est passée de 14 % des listes en 2023 à 23 % depuis le début de l'année.

Blocage de l'accès initial et au-delà

Bien qu’aucune organisation ne soit véritablement à l’abri des attaques de l’IAB, la bonne nouvelle est que les acteurs de la menace eux-mêmes ont tendance à s’en tenir à des techniques de piratage éprouvées. Cela signifie que les meilleures pratiques de sécurité aideront les défenseurs du réseau à neutraliser l’accès initial ou ce qui vient ensuite. Cyberint recommande des mesures simples comme l’authentification multifacteur (MFA), les politiques d’accès à moindre privilège, l’application régulière de correctifs, la formation à la sensibilisation à la sécurité, l’utilisation restreinte du RDP, la détection d’intrusion (IDS), la segmentation du réseau et la surveillance du dark web.

Heureusement, les normes et cadres de bonnes pratiques constituent un excellent moyen de formaliser ces pratiques.

Par exemple, ISO 27001 aborde les points suivants :

Contrôle d'accès : (Annexe A.9). Aide à réduire le risque d'infiltration de IAB dans leurs réseaux.

Gestion des incidents et réponse : (Annexe A.16) Une détection et une réponse rapides à l’accès initial peuvent aider à contenir les violations avant qu’elles ne puissent être monétisées.
Sensibilisation et formation à la sécurité : (Annexe A.7.2.2) Cela réduit la probabilité que les IAB obtiennent un accès par erreur humaine, comme le phishing ou des mots de passe faibles.
Contrôles de sécurité du réseau : (Annexe A.13) La division du réseau en segments plus petits et isolés limite la capacité des acteurs de la menace à se déplacer latéralement une fois à l'intérieur du réseau.
Surveillance et journalisation : la surveillance et la journalisation continues de l'activité du réseau détectent et alertent de toute tentative d'accès non autorisée.
Configuration du pare-feu et de l'IDS/IPS : une configuration appropriée permet de détecter et de bloquer plus efficacement les activités réseau suspectes.
Gestion des correctifs et gestion des vulnérabilités : (Annexe A.12.6.1) Réduit le nombre de vulnérabilités exploitables que les IAB peuvent utiliser pour obtenir un accès initial.
Sécurité de la chaîne d'approvisionnement : (Annexe A.15) Aide à empêcher les IAB d'obtenir un accès non autorisé par l'intermédiaire de tiers non sécurisés.
Cryptographie et protection des données : (Annexe A.10) Le cryptage des données limitera la valeur de ce qui est accessible après une violation de l'IAB.
Sécurité physique et environnementale : (Annexe A.11) Réduit le risque que les IAB obtiennent un accès initial par des moyens physiques, comme un employé compromis.

La norme ISO 27001 repose sur un cycle PDCA (Planifier-Déployer-Contrôler-Agir), qui met l'accent sur l'amélioration continue du système de gestion de la sécurité de l'information (SMSI). Des audits internes réguliers, des revues de direction et des mises à jour de sécurité en phase avec l'évolution constante des menaces permettront aux défenses de l'entreprise de rester en phase avec leurs objectifs au fil du temps. Les attaques de l'IAB sont inévitables. Mais les violations réussies ne le sont pas forcément.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster