ActualitésTechno

Vos « identifiant et mot de passe » deviennent la cible privilégiée des cybercriminels

Trend Micro Incorporated, entreprise japonaise parmi les spécialistes mondiaux en matière de cybersécurité, présente les résultats d’un nouveau rapport de recherches portant sur les chaînes d’approvisionnement à l’origine de la récente recrudescence des attaques par rançongiciel (Ce rapport s’appuie sur l’analyse de plus de 900 annonces d’« access brokers » identifiées entre janvier et août 2021 sur plusieurs forums de cybercriminalité en anglais et en russe). Intitulé ’Access-as-a-Service’, le rapport révèle notamment que la demande a particulièrement augmenté ces deux dernières années, au point que de nombreux marchés cybercriminels ont désormais une offre ‘Access-as-a-Service’ dédiée.

« En matière de cybersécurité, l’attention des analystes se concentre essentiellement sur la charge active des rançongiciels ; or il est primordial de comprendre et surveiller aussi l’activité des ‘access brokers’ qui fournissent clés en mains les moyens d’entrer dans les Systèmes d’Information », insiste Nicolas Arpagian, Director Cybersecurity Strategy chez Trend Micro. « En cas d’incident, les équipes SOC doivent souvent enquêter sur une ou plusieurs chaînes techniques qui s’entremêlent pour identifier la cause première d’une attaque par rançongiciel, ce qui complique souvent le processus global de réponse. En surveillant l’activité de ces ‘access brokers’ qui usurpent et commercialisent les accès aux réseaux d’entreprise, elles limiteraient la capacité d’action des attaquants et anticiperaient ainsi davantage les risques d’intrusion. »

Des secteurs particulièrement vulnérables

L’Education figure parmi les secteurs pour lesquels les informations semblent les plus facilement accessibles sur les plateformes de commerce parallèle, plus d’un tiers des annonces concernant notamment des établissements scolaires et universitaires (36%). L’industrie et les services professionnels sont également parmi les plus enclins à être ciblés par une attaque par rançongiciel (11%).

Le rapport révèle trois principaux types d’access brokers :

  • Les vendeurs opportunistes, qui n’y consacrent pas tout leur temps et se concentrent ponctuellement sur la réalisation d’un profit rapide.
  • Les brokers dédiés, pirates informatiques qualifiés qui commercialisent leurs accès auprès de différents profils de sociétés. Leurs services sont souvent utilisés par des entités plus petites et des groupes de rançongiciel.
  • Les boutiques en ligne, qui proposent des identifiants RDP (protocole de bureau à distance) et VPN (réseau privé virtuel). Ces dernières ne garantissent l’accès qu’à une seule machine, et non à l’ensemble d’un réseau ou d’une organisation. Cependant, elles représentent un moyen simple et automatisé pour les cybercriminels moins qualifiés de se procurer un accès. Elles offrent la possibilité d’effectuer une recherche par emplacement géographique, fournisseur d’accès, système d’exploitation, numéro de port, droits d’administrateur ou nom d’entreprise.

Les vendeurs opportunistes, qui n’y consacrent pas tout leur temps et se concentrent ponctuellement sur la réalisation d’un profit rapide.

Les brokers dédiés, pirates informatiques qualifiés qui commercialisent leurs accès auprès de différents profils de sociétés. Leurs services sont souvent utilisés par des entités plus petites et des groupes de rançongiciel.

Les boutiques en ligne, qui proposent des identifiants RDP (protocole de bureau à distance) et VPN (réseau privé virtuel). Ces dernières ne garantissent l’accès qu’à une seule machine, et non à l’ensemble d’un réseau ou d’une organisation. Cependant, elles représentent un moyen simple et automatisé pour les cybercriminels moins qualifiés de se procurer un accès. Elles offrent la possibilité d’effectuer une recherche par emplacement géographique, fournisseur d’accès, système d’exploitation, numéro de port, droits d’administrateur ou nom d’entreprise.

Les vendeurs opportunistes, qui n’y consacrent pas tout leur temps et se concentrent ponctuellement sur la réalisation d’un profit rapide.

Les brokers dédiés, pirates informatiques qualifiés qui commercialisent leurs accès auprès de différents profils de sociétés. Leurs services sont souvent utilisés par des entités plus petites et des groupes de rançongiciel.

Les boutiques en ligne, qui proposent des identifiants RDP (protocole de bureau à distance) et VPN (réseau privé virtuel). Ces dernières ne garantissent l’accès qu’à une seule machine, et non à l’ensemble d’un réseau ou d’une organisation. Cependant, elles représentent un moyen simple et automatisé pour les cybercriminels moins qualifiés de se procurer un accès. Elles offrent la possibilité d’effectuer une recherche par emplacement géographique, fournisseur d’accès, système d’exploitation, numéro de port, droits d’administrateur ou nom d’entreprise.

  • Les vendeurs opportunistes, qui n’y consacrent pas tout leur temps et se concentrent ponctuellement sur la réalisation d’un profit rapide.
  • Les brokers dédiés, pirates informatiques qualifiés qui commercialisent leurs accès auprès de différents profils de sociétés. Leurs services sont souvent utilisés par des entités plus petites et des groupes de rançongiciel.
  • Les boutiques en ligne, qui proposent des identifiants RDP (protocole de bureau à distance) et VPN (réseau privé virtuel). Ces dernières ne garantissent l’accès qu’à une seule machine, et non à l’ensemble d’un réseau ou d’une organisation. Cependant, elles représentent un moyen simple et automatisé pour les cybercriminels moins qualifiés de se procurer un accès. Elles offrent la possibilité d’effectuer une recherche par emplacement géographique, fournisseur d’accès, système d’exploitation, numéro de port, droits d’administrateur ou nom d’entreprise.

La plupart des offres proposées par les ‘access brokers’ implique un ensemble simple d’informations d’identification pouvant provenir de précédentes violations de données, de mots de passe crackés, d’ordinateurs zombies (botnets) compromis, d’exploitation de vulnérabilités sur les passerelles VPN, de serveurs web ou encore d’attaques opportunistes ponctuelles.

Les prix pratiqués varient selon le type d’accès (machine unique ou réseau entier/entreprise), le chiffre d’affaires annuel de l’entreprise et la quantité de travail restant à effectuer par l’acheteur. Bien qu’il soit possible d’obtenir un accès RDP pour seulement 10$, le prix moyen d’un accès administrateur est d’environ 8 500$. Les prix peuvent toutefois atteindre 100 000$.

Parmi les recommandations Trend Micro :

  • Surveiller la publication de données concernant votre organisation
  • Déclencher une réinitialisation des mots de passe pour tous les utilisateurs, dès lors qu’une violation des informations d’identification de l’entreprise est suspectée
  • Mettre en place une authentification à plusieurs facteurs (MFA)
  • Surveiller les usages des utilisateurs, par l’analyse comportementale
  • Instaurer une DMZ (zone démilitarisée) pour préserver les serveurs stratégiques et agir comme si les services Internet (VPN, messagerie Web, serveurs Web) étaient constamment attaqués
  • Mettre en œuvre une segmentation et une micro-segmentation réseau
  • Développer une politique conforme aux meilleures pratiques en matière de mot de passe
  • Mettre en œuvre une forme d’architecture Zero Trust

À propos de Trend Micro

Leader mondial de solutions de cybersécurité, Trend Micro contribue à créer un monde plus sûr en sécurisant les échanges d’informations numériques. S’appuyant sur plus de 30 ans d’expertise en matière de sécurité, de recherche sur les menaces et d’innovation continue, Trend Micro permet au grand public, aux entreprises et aux organisations gouvernementales de faire preuve de résilience grâce à des solutions de sécurité connectées pour les environnements Cloud, les Endpoints, la messagerie, l’IIoT et les réseaux.

Fort de plus de 6 700 collaborateurs répartis dans 65 pays, et s’appuyant sur l’infrastructure de veille sur les menaces la plus avancée au monde, Trend Micro permet aux entreprises de sécuriser leur environnement connecté.

perelafouine

Consultant depuis plus de 30 ans, Je suis depuis une dizaine d'années journaliste, professionnel dans le domaine des risques et des assurances pour le e-mag RiskAssur-hebdo (https://www.riskassur-hebdo.com) et témoin de mon époque pour https://notre-siecle.com et https://perelafouine.com RiskAssur, Notre-Siècle et PèreLaFouine proposent chaque jour de nouveaux articles issus de la rédaction : la vie des sociétés (nominations, acquisitions, accords, …), des tests/présentations de produits, des ouvrages (professionnels, romans, bd, …), … Je peux : - présenter vos produits ou nouveaux ouvrages (il suffit de me les envoyer) - écrire sur des sujets à la demande pour du référencement SEO - publier vos communiqués de presse - Publier vos AAPC - … Une question, une remarque : olivier@franol.fr

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page
%d blogueurs aiment cette page :