Les pirates affirment avoir piraté le réseau d’une grande maison de vente aux enchères et offert l’accès à quiconque était prêt à payer 120 000 $.
Les chercheurs en sécurité ont trouvé la publicité sur un forum de hackers connu pour fournir un marché aux courtiers d’accès initial (IAB) après avoir analysé un échantillon de 72 messages.
Accès réseau coûteux
Les chercheurs de la société de renseignement sur les menaces Flare ont parcouru trois mois d’offres IAB sur le forum de hackers en langue russe Exploit pour mieux comprendre qui ils ciblent, leurs prix demandés et qui sont les plus actifs.
Du 1er mai au 27 juillet, les courtiers ont annoncé l’accès à plus de 100 entreprises dans 18 secteurs, dont la défense, les télécommunications, la santé et les services financiers.
Eric Clay, vice-président du marketing chez Flare, déclare dans un rapport partagé avec Breachtrace que les attaques contre des entreprises aux États-Unis, en Australie et au Royaume-Uni étaient les plus courantes – ce qui n’est pas surprenant compte tenu de leur produit intérieur brut (PIB) élevé.
Les organisations des secteurs de la finance et du commerce de détail ont été les plus ciblées, suivies de la construction et de la fabrication, note Clay dans le rapport.
Selon le profil de l’entreprise et le pays, les prix ont commencé à 150 $ et la plupart d’entre eux étaient pour un accès initial via VPN ou RDP. Environ un tiers des inscriptions étaient inférieures à 1 000 $.
Cependant, l’article le plus cher à vendre était de 120,00 $ (BTC 4 à l’époque) pour l’accès au réseau d’une maison de vente aux enchères de plusieurs milliards de dollars.
Les pirates n’ont pas fourni trop de détails, mais ont déclaré qu’ils avaient un accès backend privilégié à plusieurs enchères haut de gamme (c’est-à-dire au panneau d’administration), comme les violons Stradivarius ou les voitures de collection.
« Alors que la plupart des accès sont de valeur faible à moyenne, des accès extrêmement uniques ou de grande valeur sont parfois mis aux enchères, ce qui peut entraîner une variation de prix extrême par rapport à notre moyenne » – Flare
De nombreuses autres offres coûteuses concernaient l’accès initial aux entreprises aux États-Unis et au Royaume-Uni, les offres d’accès initial étaient destinées aux organisations d’infrastructure critiques telles que les soins de santé, les services financiers et la fabrication.
Privilège d’accès et géographie
La plupart des messages mentionnaient la géographie de la victime et les chercheurs ont pu créer une carte montrant 35 entités prétendument piratées en dehors des États-Unis.
Les IAB sur le forum Exploit évitent toujours les cibles en Russie et dans les pays de la Communauté des États indépendants (CEI), mais une surprise est le petit nombre en Chine, qui a le deuxième PIB le plus élevé au monde.
Clay a déclaré à Breachtrace que si les IAB évitent généralement de cibler la Chine, il y avait une liste pour l’accès au réseau d’une société chinoise d’intelligence artificielle.
Le type d’accès le plus fréquent observé dans les messages était via RDP (vu dans 32 messages) ou VPN (vu dans 11 messages), qui représentaient ensemble 60 % des listes dans l’ensemble de données.
Le niveau de privilèges associé aux comptes d’accès allait de l’administrateur cloud (14 cas) à l’administrateur local (5 cas) et à l’utilisateur de domaine (2 cas).
En passant, Clay a déclaré à Breachtrace qu’un courtier offrait « un accès privilégié à une station de radio américaine », qui, selon les pirates, pourrait être utilisé pour « diffuser des publicités ».
Certains IAB ont annoncé l’accès aux systèmes de sauvegarde et de récupération ainsi que l’accès au réseau informatique de l’entreprise, ce qui pourrait servir aux opérations de ransomware.
En règle générale, l’accès aux réseaux d’entreprise provient de logiciels malveillants voleurs d’informations, mais certains acteurs ont clairement indiqué qu’ils utilisaient une méthode différente, probablement un autre type de logiciel malveillant, du phishing ou l’exploitation d’une vulnérabilité.
« Les journaux de vol sont un vecteur d’accès principal négligé pour les courtiers d’accès initiaux, c’est un type d’infection étonnamment simple qui est presque certain d’être l’un des principaux moyens par lesquels les IAB et les groupes de rançongiciels accèdent aux environnements informatiques d’entreprise » – Mathieu Lavoie. Directeur de la technologie chez Flare
Quelle que soit la méthode utilisée par les courtiers d’accès initiaux pour obtenir l’accès à un réseau, les entreprises doivent au moins mettre en œuvre des mécanismes de surveillance des logiciels malveillants voleurs d’informations, une source régulière d’informations d’identification d’entreprise.
Les forums de surveillance où les courtiers d’accès initial annoncent leurs offres peuvent également aider les organisations à obtenir un indice sur une éventuelle compromission, même si le nom de la victime est anonymisé.
La combinaison de données telles que la géographie, les revenus, l’industrie et le type d’accès sont des indices suffisants pour lancer une enquête sur une violation potentielle.
Ce processus peut également avoir des effets secondaires positifs, tels que la découverte de zones nécessitant une sécurité renforcée ou l’identification d’appareils, de services et de comptes susceptibles de présenter un risque.