Que sont les courtiers d'accès initial ?

Les attaques de ransomwares sont en augmentation et pour les victimes de ces crimes, c'est un problème coûteux. Pour les acteurs de l'autre côté, cependant, la tendance offre de nouvelles façons de gagner de l'argent. Le rôle du courtier d'accès initial en est un exemple.

Les attaques de ransomware les plus rentables ne peuvent être menées qu'en accédant d'abord à un réseau sécurisé et les cybercriminels n'ont pas toujours la capacité d'y parvenir. Au lieu de cela, ils peuvent acheter l'accès nécessaire auprès d'un courtier.

Alors, que sont les courtiers d'accès initial et comment pouvez-vous vous en protéger ?

Que sont les courtiers d'accès initial ?

Les courtiers d'accès initiaux sont des acteurs malveillants qui fournissent un accès à des réseaux sécurisés moyennant des frais. Ce sont souvent des pirates informatiques, mais ils peuvent également accéder à des réseaux utilisant l'ingénierie sociale.

Leur motivation n'est pas de mener eux-mêmes des cyberattaques mais plutôt de vendre l'accès à une autre partie. En raison de la rentabilité

des attaques de rançongiciels et autres cyberattaques, il existe de nombreux acheteurs potentiels pour un tel produit.

Cela permet aux courtiers d'accès initiaux de réaliser des bénéfices importants même s'ils ne jouent qu'un rôle mineur dans la cybercriminalité dans son ensemble.

Comment les courtiers en accès initial obtiennent l'accès

Les courtiers d'accès initiaux utilisent diverses techniques pour accéder aux réseaux sécurisés. Si un réseau utilise des logiciels obsolètes, les pirates peuvent être en mesure de s'introduire rapidement. Ils peuvent également tenter de déterminer les informations d'identification des utilisateurs à l'aide de techniques de force brute comme la pulvérisation de mot de passe. Ou ils peuvent essayer le phishing, ou harponnage, attaques contre des utilisateurs connus.

Quels types d'accès vendent-ils ?

Les courtiers d'accès initial vendent principalement des informations d'identification d'utilisateur. Une fois obtenus, ils permettent à leur titulaire d'accéder à un réseau au même titre qu'un utilisateur légitime.

Les informations d'identification des utilisateurs sont principalement vendues pour les protocoles de bureau à distance et les VPN. Certains courtiers d'accès initiaux poussent également l'idée plus loin en installant un logiciel de gestion à distance sur des serveurs compromis. Les informations d'identification pour ce logiciel sont ensuite vendues pour fournir un accès pratique.

Après avoir acheté des informations d'identification, un attaquant peut rechercher des informations précieuses, éventuellement désactiver les fonctions de sécurité et éventuellement installer n'importe quel programme de son choix. En d'autres termes, les informations d'identification peuvent être utilisées pour lancer un large éventail de cyberattaques.

Qui achète auprès des courtiers d'accès initial ?

Les courtiers d'accès initial vendent principalement aux opérateurs de rançongiciels. Ils vendent au plus offrant et les rançongiciels ont tendance à être le moyen le plus rentable d'utiliser leur produit. Mais l'accès initial peut également avoir de la valeur pour d'autres parties. Si un serveur contient des informations confidentielles, des informations d'identification d'utilisateur peuvent être achetées dans le but de les obtenir.

Les courtiers en accès initial vendent leurs produits sur les places de marché du dark web. Leurs pages de produits incluent des informations telles que le type de serveur, le niveau d'accès et les revenus de l'entreprise à laquelle appartient le serveur. Cela permet aux cybercriminels ayant l'intention de lancer un type spécifique de cyberattaque de trouver facilement des informations d'identification appropriées à cette fin.

Le prix de l'accès initial varie de moins de cent dollars à plusieurs milliers. Les informations d'identification sont généralement tarifées en fonction des revenus de l'entreprise propriétaire du réseau.

Comment les courtiers d'accès initiaux provoquent une augmentation des attaques de ransomwares

Le ransomware n'est pas un produit logiciel compliqué. Il est également largement disponible à l'achat sur le dark web. De nombreux opérateurs de ransomwares ne sont pas des hackers experts. Ce sont des gens ordinaires en possession d'un outil puissant.

La capacité à gagner de l'argent avec un rançongiciel n'est donc pas dictée par la capacité technique ou même l'accès au logiciel. Il est limité par le fait qu'il est difficile de trouver des réseaux sur lesquels mener des attaques.

Les grandes organisations dépensent de grosses sommes d'argent pour sécuriser leurs réseaux précisément dans ce but. Percer demande donc beaucoup d'efforts et de nombreuses tentatives d'infiltration s'avèrent infructueuses.

Les courtiers d'accès initial suppriment cette barrière à l'entrée. Ils s'installent et annoncent qu'ils ont déjà fait tout le travail acharné. Pour une somme modique (par rapport aux bénéfices potentiels), n'importe qui peut accéder au réseau d'une organisation par ailleurs professionnelle.

Cela a des effets significatifs sur l'industrie des rançongiciels dans son ensemble.

Il offre une division efficace du travail permettant à toutes les parties de se concentrer sur ce qu'elles font le mieux. Les pirates peuvent monétiser leur capacité à accéder rapidement aux réseaux et les groupes de rançongiciels peuvent se concentrer exclusivement sur le côté extorsion.

Cela permet également aux personnes ayant une expertise technique limitée de mener des attaques sans rien apprendre. Les ransomwares sont souvent vendus avec des instructions d'utilisation et un support client. Les courtiers d'accès initiaux fournissent ensuite les informations d'identification de l'utilisateur nécessaires pour en tirer profit.

Un autre problème avec les courtiers d'accès initiaux est qu'ils ajoutent une autre couche à l'industrie des rançongiciels. Si l'auteur d'une attaque par ransomware est poursuivi, il est peu probable que le courtier d'accès initial qui a fourni l'accès soit poursuivi et vice versa. Cela rend la poursuite et la prévention des attaques de ransomwares plus difficiles dans l'ensemble.

Comment se protéger contre les courtiers d'accès initial

Les courtiers en accès initial ne ciblent pas les particuliers, ce n'est tout simplement pas rentable de le faire. Au lieu de cela, ils ciblent les entreprises. Si vous êtes en charge d'un réseau potentiellement précieux, vous pouvez prendre de nombreuses mesures pour rendre l'accès plus difficile.

• Tous les logiciels doivent être tenus à jour avec des correctifs installés immédiatement après leur publication. Cela empêche les acteurs malveillants d'exploiter les vulnérabilités connues.
• Toute personne ayant accès à un réseau doit être consciente de la menace posée par les e-mails de phishing et de spear phishing.
• L'utilisation de mots de passe forts doit être imposée à tous les utilisateurs. Les utilisateurs doivent également être empêchés d'utiliser le même mot de passe dans plusieurs comptes.
• L'utilisation de l'authentification multifacteur doit être renforcée. Si l'accès à un réseau nécessite une forme supplémentaire d'authentification, les informations d'identification volées de l'utilisateur sont rendues inefficaces.

Les courtiers en accès initial sont une menace importante dont il faut être conscient

Les courtiers en accès initial constituent une menace importante dont les entreprises doivent être conscientes. Une fois qu'ils ont accès à un réseau, ils annoncent l'opportunité sur le dark web et remettent les informations d'identification au plus offrant.

Cela donne à l'acheteur la possibilité de voler des informations ou d'installer un rançongiciel qui nécessite une dépense financière importante pour être réparé.

Pour prévenir ce type d'intrusion, il est important de sécuriser les réseaux en mettant régulièrement à jour les logiciels et en s'assurant que tous les utilisateurs agissent de manière responsable.

Comment les hackers utilisent notre propre technologie contre nous

Lire la suite

A propos de l'auteur