10 000 dollars : le prix moyen pour un accès volé à un réseau d’entreprise
Un nouveau rapport de la société de cybersécurité Intsights a mis en lumière le marché florissant de l’accès aux réseaux sur le dark web, qui rapporte des milliers de dollars aux cybercriminels.
Paul Prudhomme, conseiller en renseignement sur les menaces chez IntSights, a examiné les ventes d’accès sur des forums clandestins russes et anglophones avant de compiler une étude sur les raisons pour lesquelles les criminels vendent leur accès au réseau et sur la manière dont ils le transfèrent aux acheteurs.
Plus de 37 % de toutes les victimes figurant dans un échantillon de données étaient basées en Amérique du Nord, tandis que le prix moyen était de 9 640 dollars et le prix médian de 3 000 dollars.
Le RDP a le vent en poupe
L’étude note que ces types d’accès continuent d’être utilisés dans les attaques au ransomware à travers le monde. Les forums du Dark Web permettent la mise en place d’un système décentralisé où des cybercriminels moins qualifiés peuvent s’appuyer les uns sur les autres pour différentes tâches, ce qui permet à la plupart des opérateurs de ransomware d’acheter simplement l’accès, selon M. Prudhomme.
L’accès au réseau se fait principalement via des identifiants des administrateurs système ou l’accès à distance à un réseau. Comme des millions de personnes travaillent encore à domicile en raison de la pandémie de COVID-19, la vente d’accès au réseau a considérablement augmenté au cours des 18 derniers mois. L’accès à distance se fait généralement par le biais de RDP et de VPN.
Sur les forums et places de marché du dark web, les cybercriminels partagent l’accès à un ensemble de logiciels malveillants, d’outils malveillants, d’infrastructures illicites et de données, comptes et détails de cartes de paiement compromis. La plupart des forums et places de marché les plus sophistiqués sont en russe, mais il existe également de nombreux forums en anglais, espagnol, portugais et allemand.
Les cybercriminels disposent rarement d’une équipe complète d’attaquants expérimentés dans chaque étape d’une attaque, ce qui rend les forums du dark web idéaux car ils leur permettent de monétiser leurs attaques ou de rechercher des logiciels malveillants, des infrastructures d’hébergement et des accès à des réseaux compromis.
“Ce facteur est particulièrement applicable aux compromissions d’environnements spécialisés, tels que ceux comportant des technologies opérationnelles (OT), des systèmes de contrôle industriel (ICS), des systèmes de contrôle et d’acquisition de données (SCADA), ou d’autres technologies moins courantes ou moins conventionnelles qui peuvent être peu familières à de nombreux attaquants”, explique M. Prudhomme.
Parfois, les attaquants réalisent qu’ils se sont introduits dans un réseau sans données pouvant être volées ou vendues et décident de vendre l’accès à des groupes de ransomware.
Les messages proposant un accès au réseau compromis mentionnent la victime, la forme et le niveau d’accès, ainsi que le prix et d’autres détails de la transaction. Parfois, les victimes sont identifiées par lieu, industrie ou secteur et des informations sur les revenus sont souvent incluses.
Des offres détaillées
Les descriptions peuvent également inclure le nombre et les types de machines qui s’y trouvent ou les types de fichiers et de données qu’elles contiennent. Souvent, les pirates mentionnent explicitement un élément comme une cible potentielle de ransomware dans les annonces.
Certains accès sont vendus aux enchères, tandis que d’autres sont négociés au fil du temps.
Les éléments les plus courants de ces ventes sont les identifiants RDP et les identifiants VPN, qui sont tous deux beaucoup plus utilisés en raison de la pandémie. Les shells Web sont également utilisés comme mécanismes d’accès persistants, qui peuvent être vendus.
“L’élévation des privilèges est une caractéristique commune de ces ventes, mais pas universelle. De nombreux types de logiciels malveillants, y compris les ransomwares, ont besoin de privilèges élevés pour s’exécuter”, a déclaré M. Prudhomme.
“Des privilèges plus élevés peuvent également permettre aux attaquants de créer leurs propres comptes ou de prendre d’autres mesures pour s’assurer des moyens de persistance supplémentaires, fournissant une redondance pour l’accès qu’ils ont acheté”. Les identifiants de l’administrateur de domaine sont un élément courant de ces ventes, en conjonction avec une forme d’accès à distance. Certaines formes d’accès à distance à vendre peuvent également s’accompagner de leurs propres privilèges élevés.”
L’étude comprend une analyse quantitative et qualitative d’un échantillon de 46 ventes d’accès réseau sur des forums analysés par IntSights de septembre 2019 à mai 2021.
Parmi cette sélection, sept individus ont représenté plus de la moitié des points d’accès mis en vente.
Sur les 46 échantillons, 40 ont nommé l’emplacement des organisations victimes et près de 40 % se trouvaient aux États-Unis ou au Canada.
Dix des 46 victimes appartenaient au secteur des télécommunications, tandis que trois autres secteurs – les services financiers, les soins de santé et les produits pharmaceutiques, ainsi que l’énergie et l’industrie – sont arrivés ex aequo en deuxième position.
“Malgré le nombre relativement faible de victimes dans le secteur du commerce de détail et de l’hôtellerie, la deuxième offre la plus chère de cet échantillon, avec un prix demandé d’environ 66 000 dollars US en bitcoins à l’époque, concernait l’accès à une organisation soutenant des centaines de commerces de détail et d’hôtellerie”, a expliqué M. Prudhomme.
“La victime était un opérateur tiers de programmes de fidélité et de récompenses pour les clients. Le vendeur a mis en avant les différentes façons dont un acheteur pouvait monétiser cet accès, notamment : l’examen et la manipulation du code source ; l’accès aux comptes et aux points des membres du programme de fidélité ; et les attaques par spam et phishing, y compris les campagnes de ransomware contre les membres du programme de fidélité via des canaux de communication légitimes.”
Les prix s’adaptent aux victimes
Prudhomme a noté que les cybercriminels s’en prennent souvent aux programmes de fidélisation des compagnies aériennes en raison de l’absence générale de mesures anti-fraude.
Si le prix moyen est de 9 640 dollars, les chercheurs d’IntSights ont indiqué que la plupart des prix tournaient autour de 3 000 dollars. Seuls dix offres dépassaient les 10 000 dollars et la plupart concernaient l’accès à des entreprises de télécommunications ou de technologie. De nombreuses offres se chiffraient en centaines de dollars, et l’offre la plus basse était de 240 dollars pour l’accès à une entreprise de soins de santé en Colombie.
Le prix le plus élevé de l’étude était de 95 000 dollars pour l’accès à un grand fournisseur de services de télécommunications en Asie, dont le chiffre d’affaires dépasse le milliard de dollars.
Les chercheurs invitent les entreprises à appliquer des correctifs à leurs systèmes, à activer l’authentification multifacteurs et à prendre d’autres mesures pour fermer les points d’accès potentiels.
“Le temps nécessaire à la vente d’un accès au réseau peut donner aux équipes de sécurité plus de temps pour détecter une brèche de sécurité avant qu’un acheteur ne la monétise ou n’en fasse autre chose qui pourrait causer un préjudice important”, indique le rapport.
“Le temps nécessaire pour trouver un acheteur varie considérablement, allant de quelques heures à plusieurs mois, mais un délai de quelques jours ou semaines est plus typique. Si les équipes de sécurité découvrent un intrus qui dispose d’un accès depuis une période de temps significative mais qui n’a pas encore commencé à le monétiser, par exemple en exfiltrant des fichiers rentables ou en déployant des ransomwares, alors ce délai pourrait indiquer que l’intrus initial attend toujours un acheteur.”
Source : “ZDNet.com”
