Les cybermenaces constituent un danger bien réel pour les entreprises de toutes dimensions. En effet, les activités cybercriminelles (le e-crime) connaissent une croissance soutenue, tant par leur volume que leur envergure. Au cours de la seule année écoulée, 80 % des attaques détectées ont été perpétrées par des cybercriminels crapuleux, c’est-à-dire des hackers qui cherchent à profiter financièrement d’activités aussi nombreuses que diversifiées. En outre, leur modus operandi évolue en permanence. Basé sur 18 indicateurs représentatifs des activités cybercriminelles, l’indice de la cybercriminalité ECX (eCrime Index) témoigne de la puissance, de l’ampleur et de la sophistication de ce marché. Actuellement, les experts observent une tendance de plus en plus prégnante : les access brokers augmentent le prix des identifiants dérobés.
Le rôle des acces brokers dans la sphère cybercriminelle
Les access brokers forment une catégorie de cybercriminels spécialisés dans le vol de données permettant d’accéder aux informations d’entreprises de toutes tailles, ainsi que leur revente sur des forums clandestins. En quelque sorte, ils jouent un rôle d’intermédiaire au sein de l’écosystème numérique et obtiennent généralement les données d’accès en utilisant des logiciels malveillants disponibles dans le commerce, en devinant des mots de passe ou en exploitant des failles de sécurité non corrigées. Les identifiants ainsi capturés sont notamment acquis par des utilisateurs de ransomwares qui accèdent au réseau d’une entreprise pour recueillir et chiffrer des données, avant d’exiger de leur victime le versement d’une rançon élevée en échange des clés de déchiffrement. Mais ce n’est pas tout : certains de ces groupes procèdent de plus en plus à l’exfiltration des données en menaçant de divulguer des informations embarrassantes ou confidentielles, ce qui constitue un moyen de pression supplémentaire au cas où la victime refuserait de verser la rançon.
A priori, c’est un marché plutôt florissant, les données nécessaires pour accéder aux entreprises victimes se vendant de plus en plus cher sur les forums clandestins. Et même si les négociations ont lieu en coulisses sur les canaux de communication privés et qu’elles sont par nature discrètes, une solide tendance se dessine : les hackers sont prêts à verser aux courtiers des sommes à six chiffres pour acquérir ces cybersésames ! En contrepartie, ils reçoivent des informations détaillées concernant leurs stratégies d’attaque. Les petites annonces publiées par les access brokers sur le Dark Web sont souvent formulées de manière similaire et fournissent aux acheteurs potentiels des données décrivant l’entreprise ciblée — son chiffre d’affaires officiel, le nombre estimé d’employés, voire son domaine d’activité. De plus, les access brokers divulguent souvent des informations relatives à la méthode d’accès : réseau virtuel privé VPN (Virtual Private Network) ou protocole de bureau à distance RDP (Remote Desktop Protocol).
Le « cours » des données d’accès varie en fonction de différents facteurs et tient généralement compte du chiffre d’affaires déclaré par l’entreprise concernée, ainsi que de sa localisation géographique. Le marché se répartit en effet en trois grandes régions : le niveau 1 comprend les États-Unis, le Canada, l’Australie, la Nouvelle-Zélande et le Royaume-Uni ; le niveau 2 l’Europe et l’Asie du Sud-Est. Enfin, le Moyen-Orient, le Japon et la Corée du Sud constituent le niveau 3.
Une activité lucrative pour les acces brokers
Les prix varient en fonction du type d’accès et de la valeur de la proie : si ces données sont bien souvent cédées à vil prix, les transactions les plus onéreuses accroissent le prix de vente moyen, comme le montre l’indice ECX.
L’augmentation du prix d’achat indique que les cybercriminels rentabilisent correctement leur investissement. Les demandes de rançon totalisant plusieurs dizaines de millions de dollars montrent que ce marché est particulièrement juteux, et il ne fait guère de doute que le prix à payer pour accéder à ce type de données va continuer d’augmenter. Face à ce commerce en plein essor, il est vivement recommandé de suivre au plus près un cyber-environnement qui évolue sans cesse afin d’identifier des méthodes efficaces pour lutter contre les outils, techniques et procédures (TTP) que ses acteurs utilisent.
___________________
Par Jörg Schauff, conseiller en stratégie et renseignements sur les menaces, CrowdStrike