Vendre les accès aux réseaux piratés, un business qui a le vent en poupe

Chez les cybercriminels aussi, il y a une offre B to B. Et ce secteur a le vent en poupe. La vente d’accès piratés à des réseaux d’entreprise est une spécialité de certains groupes cybercriminels : leur rôle dans l’écosystème est de parvenir à infecter des postes dans un réseau d’entreprise, puis une fois la victime identifiée, de revendre ces accès à d’autres groupes cybercriminels qui pourront rentabiliser leur achat par du vol de données, une attaque au ransomware ou d’autres activités malveillantes.

Dans le cas des ransomwares, on parle même de groupes “affiliés” : ces groupes chargés de compromettre des réseaux d’entreprises et de diffuser un ransomware particulier. Le groupe à l’origine du ransomware se charge ensuite de négocier et de réceptionner le paiement de la rançon, puis ces gains sont partagés entre l’affilié et le groupe concepteur du ransomware.

Le pied dans la porte

Dans son rapport sur les tendances actuelles de la cybercriminalité, publié aujourd’hui, la société Group IB met en lumière la recrudescence des offres émanant de ce type d’acteurs sur les forums cybercriminels. Si l’éditeur admet que la revente d’accès à des réseaux compromis (par le biais d’un logiciel malveillant ou par le vol d’identifiant) n’a rien de nouveau, il indique néanmoins qu’un pic des ventes a été atteint au cours de l’année 2020. « Entre le second semestre 2019 et le premier semestre 2020, le nombre d’offres de vente d’accès à dés réseaux compromis a été multiplié par 2,6 (de 138 à 362) par rapport à la période précédente », indiquent ainsi les chercheurs de Group IB. Le nombre de groupes identifiés comme proposant ce type d’accès est également en croissance constante depuis plusieurs années : Group IB en recensait 37 en 2018, 50 en 2019 et 63 en 2020. Sur ces 63 vendeurs identifiés en 2020, Group IB indique que 52 d’entre eux sont des « nouveaux venus » ayant commencé à vendre ce type d’accès en 2020. La société de cybersécurité s’est même essayé à quantifier le volume de ce marché, en se basant sur les annonces passées par les groupes sur des forums cybercriminels. Si Group IB admet que la tâche est délicate, il estime que celui-ci est passé de d’1,6 million de dollars en 2019 à 6,1 millions de dollars en 2020.

Les vecteurs d’intrusion fréquemment employés par ces différents groupes ne sont pas une surprise : le phishing d’identifiants, les attaques par force brute visant des appareils accessibles via le protocole RDP et l’exploitation de failles dans les applications exposées sur internet, notamment les VPN. Plusieurs vulnérabilités corrigées dans des produits VPN n’ayant pas été mis à jour par les entreprises qui les ont déployés ont ainsi été exploités par des cybercriminels pour s’infiltrer dans les réseaux d’entreprise.

Nous avons également traduit une liste (non exhaustive) des principaux logiciels malveillants exploités par les groupes s’adonnant à la revente d’accès aux réseaux d’entreprise compromis. On y retrouve de nombreux botnets bien connus : Emotet, Trickbot ou encore Dridex, autant de logiciels malveillants qui peuvent être diffusées par des cybercriminels. Une fois qu’une machine sur le réseau est compromise, l’accès à celle-ci peut être revendu à d’autres groupes, qui se chargeront de diffuser d’autres logiciels malveillants ou de voler des données.