Ransomware : les courtiers d’accès, incontournables de l’ecosysteme cybercriminel

Ransomware : les courtiers d'accès, incontournables de l'ecosysteme cybercriminel

Le marché des courtiers en accès continue de se développer, le coût de ces accès represente des frais infime par rapport aux récompenses potentielles d’une attaque réussie de ransomware.

Les courtiers d’accès sont des individus ou des groupes qui ont réussi à obtenir l’accès à un réseau ou à un système d’entreprise par des moyens tels que le vol d’identifiants, les attaques par force brute ou l’exploitation de vulnérabilités.

Ces dernières années, les groupes de ransomware-as-a-service (RaaS) se sont intéressés à ces courtiers, car en les employant directement ou en les payant en échange de l’accès à un système cible, ils sont en mesure d’éviter la première étape de l’intrusion : le long processus nécessaire pour trouver un terminal vulnérable.

Lundi, la société de cybersécurité KELA a publié un rapport explorant le marché des courtiers en accès et a constaté que le coût moyen de l’accès au réseau était de 5 400 dollars, tandis que le prix médian était de 1 000 dollars.

Si l’on considère que les demandes de rançongiciels atteignent aujourd’hui des millions de dollars, du point de vue d’un criminel, il s’agit d’un petit prix à payer.

L’équipe a examiné plus d’un millier d’annonces publiées sur des forums cybercriminels du dark web entre le 1er juillet 2020 et le 30 juin 2021, et a constaté que les annonces proposant des accès comprenaient une gamme d’offres basées sur le réseau et les comptes compromis — comme l’accès à distance à un ordinateur dans une organisation — ainsi que l’accès aux comptes à privilèges au niveau du domaine et l’accès à distance basé sur RDP et les VPN.

Au total, 25 % des annonces ont été publiées par des courtiers.

publicité

Les comptes à haut privilège se vendent plus cher

Sans surprise, les offres ayant le plus de valeur — et, par conséquent, les prix les plus élevés — étaient des services d’accès offrant des privilèges au niveau du domaine dans des entreprises se targuant de centaines de millions de dollars de revenus.

Les services d’accès les plus chers concernaient une société australienne générant un chiffre d’affaires annuel de 500 millions de dollars pour 12 bitcoins (BTC), soit environ 478 000 dollars, et l’accès à une société informatique aux États-Unis, par l’intermédiaire de ConnectWise, pour 5 BTC (200 000 dollars).

L’accès à de petites entreprises peut coûter moins de 200 dollars.

“Si certains acteurs sont prêts à travailler pour un pourcentage (une part du montant gagné lors d’une attaque réussie de ransomware), la majorité des courtiers préfèrent s’en tenir à des prix fixes”, indique KELA.

Il convient également de noter qu’une série d’attaques par ransomware très médiatisées – notamment Kaseya et Colonial Pipeline – ayant mis en garde les forces de l’ordre et les gouvernements, certains courtiers délaissent les annonces publiques au profit de négociations privées avec des groupes de ransomware.

Comme le résultat financier est au cœur de ce modèle économique, même si leurs services ne sont pas achetés, certains courtiers d’accès initial ont été liés au vol de données – potentiellement dans le but de vendre des enregistrements volés en vrac comme source de revenus alternative.

Les pays les plus touchés sont les États-Unis, le Royaume-Uni, l’Australie, la France et le Canada.

Le rapport note qu’il semble y avoir une certaine forme d’honneur parmi les cybercriminels – avec peu d’annonces trouvées concernant les systèmes de santé, tels que ceux gérés par les hôpitaux.

“Les courtiers sont devenus des participants professionnels de l’économie du ransomware as a service”, indique KELA. “Ils trouvent constamment de nouveaux vecteurs d’accès, élargissant ainsi la surface d’attaque, et suivent les demandes de leurs clients.”

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *