Actu
Recorded Future dévoile le rôle des courtiers d’accès initial (IAB) dans les attaques par ransomware
août 2022 par Recorded Future
Recorded Future annonce les points clés d’une nouvelle étude détaillant le rôle de plus en plus important et sophistiqué que jouent les courtiers d’accès initial (IAB) dans l’écosystème des ransomwares. Les attaques par ransomware réussies commencent par l’attaque du réseau. C’est une tâche de plus en plus souvent accomplie par des IAB tiers spécialisés qui vendent l’« accès » comme un package aux acteurs du ransomware. Ces derniers sont ainsi libres de se concentrer sur le déplacement latéral, le vol de données et le déploiement de la charge utile du ransomware.
Selon l’étude, les IAB utilisent plusieurs outils, techniques et procédures (TTP) pour obtenir un tel accès, notamment :
Obtention de couples d’identifiants valides et de cookies de session à partir de logiciels malveillants voleurs de données
Achat de « logs » ou de « bots » de voleurs de données sur les boutiques du dark web
« Credential stuffing »
Attaques de type « Adversary-in-the-middle »
Phishing
« Attaque par force brute » sur les services RDP (Remote Desktop Protocol)
Exploitation de vulnérabilités de type « zero day » et « n day »
Les informations d’identification les plus couramment utilisées par les IAB sont liées aux réseaux privés virtuels d’entreprise (VPN), aux services RDP, aux passerelles Citrix Gateway, aux applications web et aux systèmes de gestion de contenu (CMS), ainsi qu’aux serveurs de messagerie web d’entreprise.
L’un des avantages de la collaboration avec les IAB est que les acteurs de la menace sont souvent contraints à acheter des identifiants compromis en vrac, alors que ce qu’ils souhaitent en réalité, ce sont des informations d’identification de niveau administrateur. Selon l’étude, l’IAB peut ainsi leur faire économiser beaucoup de temps, d’argent et d’énergie, révèle le rapport. Les IAB sont généralement présents sur les forums russophones de premier plan tels qu’Exploit, XSS et RAMP, bien qu’il soit encore possible de les trouver sur des forums anglais de niveau inférieur ou moyen. Ils opèrent souvent dans plusieurs langues et sous différents pseudonymes pour éviter d’être détectés.
La publicité de l’IAB comprend généralement des éléments clés tels que le pays de la victime, le chiffre d’affaires annuel, le secteur d’activité, le type d’accès et de droits, les données à exfiltrer, les dispositifs sur le réseau local et le prix. Toutefois, ce dernier point fait souvent l’objet de négociations par le biais d’enchères limitées dans le temps de type eBay, avec un prix « d’achat immédiat ». Le rapport précise que certains acteurs du ransomware travaillent aussi directement et en privé avec un groupe désigné de IAB.
« La communauté de la cybersécurité doit redoubler d’efforts pour limiter le travail des IAB. C’est un défi, mais il n’est pas impossible à relever, » déclare Lindsay Kaye, Senior Director of Operational Outcomes for Insikt Group chez Recorded Future.
« L’un des moyens consiste à surveiller les dispositifs et services orientés vers le périmètre, tels que les VPN et les solutions de Citrix et VMWare Horizon, qui sont exposés à l’exploitation des vulnérabilités par les IAB. Les responsables de la sécurité doivent également se concentrer sur le maintien d’une bonne visibilité et d’un inventaire de ce qu’ils possèdent et appliquer des mots de passe forts et des MFA/SSO aux appareils et services qui vont au-delà d’Active Directory. »
Le rapport de Recorded Future détaille une longue liste de mesures que les organisations peuvent prendre pour atténuer le risque de fuites d’informations d’identité, de logiciels malveillants voleurs d’informations et d’attaques par ransomware.
