Le 18 janvier 2021, un accès l’entreprise américaine de technologie minière Gyrodata était vendu sur le dark web. Un mois plus tard, DarkSide, un groupe de ransomware, déclarait avoir attaqué Gyrodata. 

Tout avait commencé avec “Babam”, un Initial Access Broker. 

Aujourd’hui, les hackers sont de plus en plus structurés, dans des groupes qui relèvent du crime organisé et qui reprennent des facettes (support client, marketing) d’activité licites. 

Et dans une économie de marché, chacun à sa spécialité. 

Petite plongée dans le monde des groupes de hackers avec un zoom sur les "Initial Access Brokers" (fournisseurs d'accès initial) afin de comprendre qui ils sont, ce qu'ils font (et comment) et quels sont les pistes pour protéger son entreprise.

Qu'est ce qu'un Initial Access et que font ils? 

En regardant sur des forums sur le dark web, on peut tomber sur ce type d’annonce. 

Elle présente un listing d’entreprise, dans des pays différents (Jordanie, Thailande, Arabie Saoudite…) avec le nombre d’employés, le revenu de l’entreprise, un type d’accès et un prix. 

C’est une annonce typique d’un Initial Access Broker. Un gang de hackers qui vendent des accès au système IT d’une entreprise à d’autres hackers en vue de leur permettre de conduire une cyberattaque.  

Les Initial Access Brokers vendent des accès à des entreprises comme par exemple :  

  • Accès RDP (Remote Desktop Protocol) utilisés pour accéder à un ordinateur de bureau à distance
  • Accès à des VPN (Virtual Private Network) d’entreprise 
  • Accès à des web shells mis en place par des Initial Access Brokers et ensuite vendus au plus offrant
  • Accès à des machines virtuelles (serveur VMware)
  • Accès Active Directory : les identifiants avec un privilège de gestionnaire de domaine sont ceux qui ont le plus de valeur

Ces accès sont ensuite utilisées dans des cyberattaques avec des objectifs différents : cyber espionnage, mise en place de botnets, vols de données… Mais surtout : déploiement de ransomware. 

Le prix va varier en fonction du niveau de privilège et de l’entreprise cible. Selon une enquête par Kela, un accès coûte en moyenne $4600, et une fois vendu une attaque au ransomware peut avoir lieu dans le mois qui suit la vente. 

Certains Initial Access Brokers poussent même le modèle de pricing à demander un pourcentage des gains en cas de rançon payée suite à une attaque par ransomware. 

Les Initial Access Brokers évitent donc aux groupes de ransomware d’avoir à obtenir un accès initial, d’effectuer le mouvement latéral et d’atteindre un certain niveau de persistence. Ce faisant, ils leur permettent de se concentrer sur leurs payloads et la gestion de leurs affiliés. 

Quelles sont les techniques utilisées par les Initial Access Brokers ?

Comment ces groupes obtiennent-ils des accès privilégiés ? Il existe bien sûr une panoplie de techniques parmi lesquelles : 

  • Si un réseau utilise des logiciels qui ne sont pas à jour, les hackers pourront utiliser des vulnérabilités identifiées pour le pénétrer
  • Ils peuvent aussi utiliser des techniques de brute force, potentiellement efficaces en l’absence d’authentification mutlifactorielle
  • Ils peuvent aussi exploiter des vulnérabilités liées à Microsoft Remote Desktop Protocol en scannant le web pour trouver des ports RDP non sécurisés
  • Enfin, le recours au phishing et au spear-phishing est une arme efficace dans l’arsenal des Initial Access Brokers, compte tenu de la propension des utilisateurs à cliquer sur les emails qu’ils reçoivent.

Prenons un exemple de ce dernier point : le groupe Exotic Lily (souvent lié au groupe de ransomware Conti). Voici le schéma de l’approche de ce groupe pour obtenir des accès via le phishing (et surtout le spear-phishing) :

Exotic Lily procède avec des attaques ciblées, qui incluent le fait d’imiter des entreprises ou des employés afin de gagner la confiance des équipes de la cible. Ce groupe procède avec des campagnes de phishing par email qui sont souvent conduites par des opérateurs humains (l’analyse des logs de communication indique que les opérateurs d’Exotic Lily travaillent surtout de 9h à 17h… et pas le weekend). Il s’agit d’une approche de spear-phishing redoutable qui diffère des attaques en masse que font d’autres groupes. 

Dans l’approche d’Exotic Lily, on peut souligner les éléments suivants : 

  • L’absence d’automatisation qui permet plus de finesse dans les emails de phishing
  • L’utilisation de l’OSINT pour se renseigner sur la cible, ainsi que l’imitation d’entreprises légitimes ou de contacts humains
  • L’utilisation de services de transfert de fichiers légitimes comme WeTransfer, TransferNow ou OneDrive pour envoyer une notification qui entraîne le déploiement d’un loader (BazarLoader par exemple)
  • Des étapes progressives : d’abord, gagner la confiance des équipes de la cible et ensuite, seulement, envoyer le payload

Cette approche, progressive et extrêmement ciblée est difficile à détecter ou bloquer simplement par le recours à des antispams ou en sécurisant l’environnement IT. 

Un exemple de faux profil créé par Exotic Lily pour des campagnes de spear-phishing.

Comment protéger son entreprise d’une cyberattaque ? 

Le risque de voir des Initial Access Brokers fournir un accès à son entreprise en vue d’une attaque par ransomware est bien réel. 

Heureusement, il existe un certain nombre de démarches à mettre en place qui permettent de diminuer ce risque : 

  • Renforcez la sécurité des accès existants : cela passe par l’usage de mot de passe unique (il est recommandé de s’appuyer sur un gestionnaire de mot de passe) ainsi que sur l’activation de l’authentification multi-factorielle (même si elle peut être contournée, elle reste une protection importante contre hackers).
  • Mettez à jour les logiciels utilisés : Les mises à jour doivent être installées dès qu’elles sont disponibles. Cela empêche les hackers d’utiliser des vulnérabilités connues dans les logiciels communément employés
  • Protéger vos utilisateurs: Comme nous l'avons vu, certains groupes opèrent par le biais d'attaques ciblées de spear-phishing. Il est donc important de protéger ses utilisateurs contre ce type d'attaques, d'autant qu'ils y sont particulièrement vulnérables. Chez Mantra, nous pensons que la sensibilisation régulière est indispensable dans ce but mais surtout que la formation par l'entraînement avec des simulations de phishing réalistes permet véritablement de rendre les utilisateurs à même de détecter des attaques de spear-phishing
  • Faites de la veille: vérifier le dark web pour des accès à votre entreprise vous permet d’anticiper des vulnérabilités éventuelles et de les bloquer avant une cyberattaque