beebright - stock.adobe.com
Ransomware : le rôle clé des courtiers en accès initiaux
Les « initial access brokers » sont des cybermalfaiteurs ayant réussi à prendre pied dans le système d’information d’une organisation et qui revendent cet accès à des tiers susceptibles d’attaquer avec un ransomware.
Blueliv résumait cet été : « les courtiers en accès initiaux sont des acteurs de la menace motivés financièrement, qui profitent de la vente d’accès distants à des réseaux d’entreprise sur des forums underground […] Les accès proposés sont essentiellement RDP, VPN, web shells, et outils d’accès distant proposés par des entreprises telles que Citrix, Pulse Secure, Zoho ou VMware ». Mais cela ne s’arrête pas là : toute vulnérabilité permettant l’exécution de code à distance sur des systèmes affectés est susceptible d’être exploitée pour obtenir de tels accès. Et il convient de ne pas oublier les outils d’administration à distance.
Digital Shadows indique surveiller les activités de ces courtiers, ou Initial Access Brokers (IAB) en anglais, depuis 2014. En 2020, l’éditeur a observé plus de 500 offres de cette nature. De son côté, Kela faisait état, en juin, de plus d’un millier d’offres au cours des 12 mois précédents, avec un prix moyen de 5 400 $ par accès.
En juin, Proofpoint soulignait l’importance de ces acteurs dans le monde des ransomwares, et en particulier ceux d’entre eux qui s’appuient sur des loaders, tels que celui que l’analyste Max Kersten nous invitait à découvrir en août 2020. Pour Proofpoint, ces logiciels malveillants « sont souvent utilisés comme vecteur d’accès initial pour les attaques avec ransomware ». Eux sont généralement distribués via des pièces jointes vérolées, liées à des menaces telles que Qbot, IcedID, ou BazaLoader, notamment.
Dans l’édition de septembre de son rapport mensuel sur la menace des rançongiciels, Sekoia.io s’est penché sur les IAB : « on a récemment pu reconstituer le chemin d’une attaque par ransomware, dont le point de départ a été la compromission d’un accès à distance par un acteur malveillant spécialisé dans la compromission d’accès aux réseaux des entités du monde entier ».
La victime était à Taïwan. L’accès initial a été mis en vente le 17 août et déclaré acheté le 11 septembre. L’attaque a été revendiquée par les opérateurs d’AvosLocker un mois plus tard, le 21 septembre. Selon les équipes de Sekoia.io, « entre le 29 août et le 21 septembre, nous estimons qu’un affilié du groupe ransomware Avos a réussi à infiltrer le réseau de la victime et en exfiltrer des données sensibles à des fins d’extorsion ».
Tous les groupes de cybermalfaiteurs pratiquant le rançongiciel n’ont pas recours à des courtiers en accès initiaux. Le groupe Karma, dans un récent échange de mails, nous a ainsi indiqué ne jamais acheter d’accès initiaux.
