Vos « identifiant/mot de passe » deviennent la cible privilégiée des cybercriminels

Rueil-Malmaison, le 1^er décembre 2021 – Trend Micro Incorporated (TYO: 4704; TSE: 4704), entreprise japonaise parmi les leaders mondiaux en matière de cybersécurité, présente les résultats d’un nouveau rapport de recherches portant sur les chaînes d’approvisionnement à l’origine de la récente recrudescence des attaques par rançongiciel^[1]. Intitulé ’Access-as-a-Service’, le rapport révèle notamment que la demande a particulièrement augmenté ces deux dernières années, au point que de nombreux marchés cybercriminels ont désormais une offre ‘Access-as-a-Service’ dédiée.

« En matière de cybersécurité, l’attention des analystes se concentre essentiellement sur la charge active des rançongiciels ; or il est primordial de comprendre et surveiller aussi l’activité des ‘access brokers’ qui fournissent clés en mains les moyens d’entrer dans les Systèmes d’Information », insiste Nicolas Arpagian, Director Cybersecurity Strategy chez Trend Micro. « En cas d’incident, les équipes SOC doivent souvent enquêter sur une ou plusieurs chaînes techniques qui s’entremêlent pour identifier la cause première d'une attaque par rançongiciel, ce qui complique souvent le processus global de réponse. En surveillant l'activité de ces ‘access brokers’ qui usurpent et commercialisent les accès aux réseaux d'entreprise, elles limiteraient la capacité d’action des attaquants et anticiperaient ainsi davantage les risques d’intrusion. »

Des secteurs particulièrement vulnérables

L'Education figure parmi les secteurs pour lesquels les informations semblent les plus facilement accessibles sur les plateformes de commerce parallèle, plus d’un tiers des annonces concernant notamment des établissements scolaires et universitaires (36%). L’industrie et les services professionnels sont également parmi les plus enclins à être ciblés par une attaque par rançongiciel (11%).

Le rapport révèle trois principaux types d’access brokers :

• Les vendeurs opportunistes, qui n’y consacrent pas tout leur temps et se concentrent ponctuellement sur la réalisation d'un profit rapide.
• Les brokers dédiés, pirates informatiques qualifiés qui commercialisent leurs accès auprès de différents profils de sociétés. Leurs services sont souvent utilisés par des entités plus petites et des groupes de rançongiciel.
• Les boutiques en ligne, qui proposent des identifiants RDP (protocole de bureau à distance) et VPN (réseau privé virtuel). Ces dernières ne garantissent l'accès qu'à une seule machine, et non à l’ensemble d’un réseau ou d’une organisation. Cependant, elles représentent un moyen simple et automatisé pour les cybercriminels moins qualifiés de se procurer un accès. Elles offrent la possibilité d’effectuer une recherche par emplacement géographique, fournisseur d’accès, système d'exploitation, numéro de port, droits d'administrateur ou nom d'entreprise.

La plupart des offres proposées par les ‘access brokers’ implique un ensemble simple d'informations d'identification pouvant provenir de précédentes violations de données, de mots de passe crackés, d’ordinateurs zombies (botnets) compromis, d’exploitation de vulnérabilités sur les passerelles VPN, de serveurs web ou encore d’attaques opportunistes ponctuelles.

Les prix pratiqués varient selon le type d'accès (machine unique ou réseau entier/entreprise), le chiffre d'affaires annuel de l'entreprise et la quantité de travail restant à effectuer par l’acheteur. Bien qu’il soit possible d’obtenir un accès RDP pour seulement 10$, le prix moyen d’un accès administrateur est d'environ 8 500$. Les prix peuvent toutefois atteindre 100 000$.

Parmi les recommandations Trend Micro :

• Surveiller la publication de données concernant votre organisation
• Déclencher une réinitialisation des mots de passe pour tous les utilisateurs, dès lors qu’une violation des informations d'identification de l'entreprise est suspectée
• Mettre en place une authentification à plusieurs facteurs (MFA)
• Surveiller les usages des utilisateurs, par l’analyse comportementale
• Instaurer une DMZ (zone démilitarisée) pour préserver les serveurs stratégiques et agir comme si les services Internet (VPN, messagerie Web, serveurs Web) étaient constamment attaqués
• Mettre en œuvre une segmentation et une micro-segmentation réseau
• Développer une politique conforme aux meilleures pratiques en matière de mot de passe
• Mettre en œuvre une forme d'architecture Zero Trust

 

^{[1] Ce rapport s’appuie sur l'analyse de plus de 900 annonces d’« access brokers » identifiées entre janvier et août 2021 sur plusieurs forums de cybercriminalité en anglais et en russe.}