Initial Access Broker - qui sont-ils, que font-ils et comment se protéger ?
Mantra Team
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Le 18 janvier 2021, un accès l’entreprise américaine de technologie minière Gyrodata était vendu sur le dark web. Un mois plus tard, DarkSide, un groupe de ransomware, déclarait avoir attaqué Gyrodata.
Tout avait commencé avec “Babam”, un Initial Access Broker.
Aujourd’hui, les hackers sont de plus en plus structurés, dans des groupes qui relèvent du crime organisé et qui reprennent des facettes (support client, marketing) d’activité licites.
Et dans une économie de marché, chacun à sa spécialité.
Petite plongée dans le monde des groupes de hackers avec un zoom sur les "Initial Access Brokers" (fournisseurs d'accès initial) afin de comprendre qui ils sont, ce qu'ils font (et comment) et quels sont les pistes pour protéger son entreprise.
Qu'est ce qu'un Initial Access et que font ils?
En regardant sur des forums sur le dark web, on peut tomber sur ce type d’annonce.
Elle présente un listing d’entreprise, dans des pays différents (Jordanie, Thailande, Arabie Saoudite…) avec le nombre d’employés, le revenu de l’entreprise, un type d’accès et un prix.
C’est une annonce typique d’un Initial Access Broker. Un gang de hackers qui vendent des accès au système IT d’une entreprise à d’autres hackers en vue de leur permettre de conduire une cyberattaque.
Les Initial Access Brokers vendent des accès à des entreprises comme par exemple :
- Accès RDP (Remote Desktop Protocol) utilisés pour accéder à un ordinateur de bureau à distance
- Accès à des VPN (Virtual Private Network) d’entreprise
- Accès à des web shells mis en place par des Initial Access Brokers et ensuite vendus au plus offrant
- Accès à des machines virtuelles (serveur VMware)
- Accès Active Directory : les identifiants avec un privilège de gestionnaire de domaine sont ceux qui ont le plus de valeur
Ces accès sont ensuite utilisées dans des cyberattaques avec des objectifs différents : cyber espionnage, mise en place de botnets, vols de données… Mais surtout : déploiement de ransomware.
Le prix va varier en fonction du niveau de privilège et de l’entreprise cible. Selon une enquête par Kela, un accès coûte en moyenne $4600, et une fois vendu une attaque au ransomware peut avoir lieu dans le mois qui suit la vente.
Certains Initial Access Brokers poussent même le modèle de pricing à demander un pourcentage des gains en cas de rançon payée suite à une attaque par ransomware.
Les Initial Access Brokers évitent donc aux groupes de ransomware d’avoir à obtenir un accès initial, d’effectuer le mouvement latéral et d’atteindre un certain niveau de persistence. Ce faisant, ils leur permettent de se concentrer sur leurs payloads et la gestion de leurs affiliés.
Quelles sont les techniques utilisées par les Initial Access Brokers ?
Comment ces groupes obtiennent-ils des accès privilégiés ? Il existe bien sûr une panoplie de techniques parmi lesquelles :
- Si un réseau utilise des logiciels qui ne sont pas à jour, les hackers pourront utiliser des vulnérabilités identifiées pour le pénétrer
- Ils peuvent aussi utiliser des techniques de brute force, potentiellement efficaces en l’absence d’authentification mutlifactorielle
- Ils peuvent aussi exploiter des vulnérabilités liées à Microsoft Remote Desktop Protocol en scannant le web pour trouver des ports RDP non sécurisés
- Enfin, le recours au phishing et au spear-phishing est une arme efficace dans l’arsenal des Initial Access Brokers, compte tenu de la propension des utilisateurs à cliquer sur les emails qu’ils reçoivent.
Prenons un exemple de ce dernier point : le groupe Exotic Lily (souvent lié au groupe de ransomware Conti). Voici le schéma de l’approche de ce groupe pour obtenir des accès via le phishing (et surtout le spear-phishing) :
Exotic Lily procède avec des attaques ciblées, qui incluent le fait d’imiter des entreprises ou des employés afin de gagner la confiance des équipes de la cible. Ce groupe procède avec des campagnes de phishing par email qui sont souvent conduites par des opérateurs humains (l’analyse des logs de communication indique que les opérateurs d’Exotic Lily travaillent surtout de 9h à 17h… et pas le weekend). Il s’agit d’une approche de spear-phishing redoutable qui diffère des attaques en masse que font d’autres groupes.
Dans l’approche d’Exotic Lily, on peut souligner les éléments suivants :
- L’absence d’automatisation qui permet plus de finesse dans les emails de phishing
- L’utilisation de l’OSINT pour se renseigner sur la cible, ainsi que l’imitation d’entreprises légitimes ou de contacts humains
- L’utilisation de services de transfert de fichiers légitimes comme WeTransfer, TransferNow ou OneDrive pour envoyer une notification qui entraîne le déploiement d’un loader (BazarLoader par exemple)
- Des étapes progressives : d’abord, gagner la confiance des équipes de la cible et ensuite, seulement, envoyer le payload
Cette approche, progressive et extrêmement ciblée est difficile à détecter ou bloquer simplement par le recours à des antispams ou en sécurisant l’environnement IT.
Comment protéger son entreprise d’une cyberattaque ?
Le risque de voir des Initial Access Brokers fournir un accès à son entreprise en vue d’une attaque par ransomware est bien réel.
Heureusement, il existe un certain nombre de démarches à mettre en place qui permettent de diminuer ce risque :
- Renforcez la sécurité des accès existants : cela passe par l’usage de mot de passe unique (il est recommandé de s’appuyer sur un gestionnaire de mot de passe) ainsi que sur l’activation de l’authentification multi-factorielle (même si elle peut être contournée, elle reste une protection importante contre hackers).
- Mettez à jour les logiciels utilisés : Les mises à jour doivent être installées dès qu’elles sont disponibles. Cela empêche les hackers d’utiliser des vulnérabilités connues dans les logiciels communément employés
- Protéger vos utilisateurs: Comme nous l'avons vu, certains groupes opèrent par le biais d'attaques ciblées de spear-phishing. Il est donc important de protéger ses utilisateurs contre ce type d'attaques, d'autant qu'ils y sont particulièrement vulnérables. Chez Mantra, nous pensons que la sensibilisation régulière est indispensable dans ce but mais surtout que la formation par l'entraînement avec des simulations de phishing réalistes permet véritablement de rendre les utilisateurs à même de détecter des attaques de spear-phishing
- Faites de la veille: vérifier le dark web pour des accès à votre entreprise vous permet d’anticiper des vulnérabilités éventuelles et de les bloquer avant une cyberattaque
Oups ! Un problème est survenu lors de la soumission du formulaire.
Plus de lecture
Cycle de vie d'une cyberattaque
Cycle de vie d'une cyberattaque
Cycle de vie d'une cyberattaque
Du phishing au ransomware : un aperçu du cycle de vie d'une cyberattaque
Pourquoi un simple email de phishing peut-il menacer une entreprise entière ? Comment les hackers passent-ils d'un compte lambda à des privilèges importants, pour finalement déployer un ransomware ?
Mantra Team
Compromission des E-mails Professionnels (Business Email Compromise - BEC) - Définition et Conseils
Compromission des E-mails Professionnels (Business Email Compromise - BEC) - Définition et Conseils
Compromission des E-mails Professionnels (Business Email Compromise - BEC) - Définition et Conseils
Qu'est-ce que le Business Email Compromise (BEC) et comment protéger son entreprise de ces attaques ?
Qu'est-ce qu'une cyberattaque de type "Businesss Email Compromise" ? Comment hackers mène-t-il ce type d'attaques et comment pouvez-vous en protéger votre entreprise ?
Mantra Team
SPF DKIM DMARC - Quoi, pourquoi et comment ?
SPF DKIM DMARC - Quoi, pourquoi et comment ?
SPF DKIM DMARC - Quoi, pourquoi et comment ?
SPF, DKIM et DMARC : pourquoi sont-ils importants et comment les configurer ?
Que sont SPF, DKIM et DMARC ? Comment contribuent-ils à la mise en place d'une protection contre les attaques de phishing et comment pouvez-vous les configurer pour le domaine de votre entreprise ?
Mantra Team