Technologie

10 000 $ : Prix moyen du vol d’accès aux réseaux d’entreprise

Un nouveau rapport de la société de cybersécurité Insights met en lumière le marché en pleine croissance de l’accès au réseau dark web, qui rapporte des milliers de dollars aux cybercriminels.

Après avoir enquêté sur les ventes d’accès dans des forums clandestins russes et anglophones, Paul Prudhomme, conseiller en renseignements sur les menaces d’IntSights, a résumé pourquoi les criminels vendent l’accès au réseau et comment le vendre. A remettre à l’acquéreur.

Plus de 37% de toutes les victimes de l’échantillon de données étaient basées en Amérique du Nord, avec un prix moyen de 9 640 $ et une médiane de 3 000 $.

Le RDP augmente

Cette étude montre que ces types d’accès continuent d’être utilisés dans les attaques de ransomware à travers le monde. Selon Prudhomme, les forums Web sombres permettent aux cybercriminels peu qualifiés de mettre en place un système décentralisé qui leur permet de s’appuyer les uns sur les autres pour différentes tâches, de sorte que la plupart des opérateurs de ransomware n’ont qu’à acheter un accès.

L’accès au réseau se fait principalement via les informations d’identification de l’administrateur système ou l’accès à distance au réseau. Avec la pandémie de COVID-19, les ventes d’accès au réseau ont considérablement augmenté au cours des 18 derniers mois, car des millions de personnes travaillent toujours à domicile. L’accès à distance se fait généralement via RDP et VPN.

Dans les forums et les marchés du Web sombre, les cybercriminels partagent l’accès aux logiciels malveillants, aux logiciels malveillants, à l’infrastructure malveillante et à une collection de données, de comptes et de détails de carte de paiement compromis. La plupart des forums et marchés les plus sophistiqués sont en russe, mais il existe également de nombreux forums en anglais, espagnol, portugais et allemand.

Les cybercriminels disposent rarement d’une équipe complète d’attaquants expérimentés à toutes les étapes d’une attaque. Les forums Web sombres sont idéaux car ils peuvent encaisser des attaques, rechercher des logiciels malveillants, héberger une infrastructure et accéder à des réseaux compromis.

“Cet élément est utilisé dans des environnements spécialisés tels que la technologie opérationnelle (OT), les systèmes de contrôle industriel (ICS), les systèmes de contrôle et d’acquisition de données (SCADA) ou d’autres technologies moins courantes ou moins courantes. Cela est particulièrement vrai pour les violations, pour de nombreux assaillants », précise Prudhomme.

Un attaquant peut découvrir qu’il a infiltré un réseau qui ne contient aucune donnée susceptible d’être volée ou vendue et décide de vendre l’accès au groupe de ransomware.

Le message fournissant un accès réseau compromis comprend la victime, le type et le niveau d’accès, ainsi que le prix de la transaction et d’autres détails. Les victimes peuvent être identifiées par lieu, industrie, secteur et incluent souvent des informations sur les revenus.

Offre détaillée

La description peut également inclure le nombre et le type de machines sur la machine, ou les types de fichiers et de données qu’elles contiennent. Les pirates font souvent explicitement référence à des éléments comme cibles potentielles de ransomware pour la publicité.

Certains accès sont mis aux enchères, tandis que d’autres sont négociés dans le temps.

Les articles les plus courants en vente sont l’ID RDP et l’ID VPN, qui sont tous deux couramment utilisés pour les pandémies. Le shell Web est également utilisé comme mécanisme d’accès persistant pour la vente.

“L’élévation des privilèges est une caractéristique courante de ces ventes, mais elle n’est pas universelle. De nombreux types de logiciels malveillants, y compris les ransomwares, nécessitent des privilèges élevés pour s’exécuter”, a déclaré Purdom.

“Des privilèges plus élevés permettent à un attaquant de créer son propre compte ou de prendre d’autres mesures pour fournir une persistance supplémentaire afin de fournir une redondance pour l’accès acheté.” Les informations d’identification d’administrateur de domaine, associées à une forme d’accès à distance, sont une caractéristique commune de ces ventes. Certaines formes d’accès à distance à vendre peuvent également être accompagnées de leurs propres privilèges élevés. ”

L’enquête comprend une analyse quantitative et qualitative de 46 échantillons de ventes d’accès au réseau dans des forums analysés par IntSights de septembre 2019 à mai 2021.

Dans ce choix, sept particuliers représentaient plus de la moitié des points d’accès vendus.

Sur les 46 échantillons, 40 ont indiqué l’emplacement de l’organisation de la victime, avec près de 40 % aux États-Unis ou au Canada.

Sur les 46 victimes, 10 appartenaient au secteur des télécommunications, les trois autres secteurs (services financiers, santé et pharmacie, énergie et industrie) venant en deuxième position.

“Malgré le nombre de morts relativement faible dans le secteur de la vente au détail et de l’hôtellerie, la deuxième offre la plus élevée de cet échantillon proposait des centaines de commerces de détail et d’hôtels au prix demandé d’environ 66 000 $ US en Bitcoin à l’époque. C’était l’accès aux organisations que nous soutien. Entreprise », a expliqué Prudom.

“La victime était un opérateur tiers du programme de fidélité et de récompenses client. Le vendeur y avait accès, y compris la vérification et la manipulation du code source, l’accès aux comptes et points des membres du programme de fidélité, le spam et le phishing, etc. qu’il peut être monétisé. Attaques, y compris des campagnes de ransomware contre les membres du programme de fidélité via des canaux de communication légitimes. ”

Le prix s’adapte aux victimes

Prudhomme a déclaré que les cybercriminels s’attaquent souvent aux programmes de fidélisation des compagnies aériennes en raison du manque général de protection contre la fraude.

Le prix moyen est de 9 640 $, mais la plupart des prix étaient d’environ 3 000 $, selon les chercheurs d’IntSights. Seules 10 offres ont dépassé les 10 000 $, la plupart d’entre elles pour l’accès à des entreprises de télécommunications et de technologie. De nombreuses offres coûtaient des centaines de dollars, et l’offre la plus basse était de 240 $ pour l’accès au secteur de la santé colombien.

Le prix le plus élevé de l’enquête était de 95 000 $ pour l’accès aux principaux fournisseurs de services de télécommunications asiatiques, avec des ventes de plus d’un milliard de dollars.

Les chercheurs demandent aux entreprises de corriger leurs systèmes, d’activer l’authentification multifacteur et de prendre d’autres mesures pour fermer les points d’accès potentiels.

“Le temps qu’il faut pour vendre l’accès au réseau est plus pour l’équipe de sécurité de détecter une faille de sécurité avant que l’acheteur ne monétise la faille de sécurité ou ne fasse quoi que ce soit d’autre qui pourrait causer de graves dommages. Cela peut vous donner beaucoup de temps “, indique le rapport. .

“Le temps qu’il faut pour trouver un acheteur peut varier de quelques heures à plusieurs mois, mais les retards de plusieurs jours ou semaines sont plus fréquents. Si l’équipe de sécurité trouve un intrus qui a accédé pendant une période de temps importante. Si vous n’avez pas commencé à monétiser pourtant, par exemple en volant des fichiers rentables ou en déployant un ransomware, ce délai fait que le premier intrus attend toujours l’acheteur. Peut indiquer. ”

Source : “ZDNet.com”

(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) return;
js = d.createElement(s); js.id = id;
js.src = “//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1”;
fjs.parentNode.insertBefore(js, fjs);
}(document, ‘script’, ‘facebook-jssdk’));

10 000 $ : Prix moyen du vol d’accès aux réseaux d’entreprise

Source link 10 000 $ : Prix moyen du vol d’accès aux réseaux d’entreprise

Back to top button