Courtiers d'accès initiaux : quand les cybercriminels se spécialisent

L’industrie de la cybercriminalité évoluant, elle est passée de pirates informatiques solitaires à des professionnels de la cybercriminalité « As-a-Service ». Focus sur la spécialisation du courtier d’accès initiaux.

Uniquement spécialisé dans l’obtention d’accès initiaux à un réseau ou à un système, puis dans la négociation de ces accès au plus offrant sur le dark web et les réseaux de cybercriminels, les tactiques de l’IAB (Initial Access Brokers) vont bien au-delà des campagnes de spam traditionnelle. Ce dernier utilise tout une gamme d’outils, de techniques et d’ingénierie sociale pour compromettre les identités et accéder aux systèmes, en contournant souvent le MFA (authentification multifacteur) et les contrôles sur lesquels les entreprises ont pu s’appuyer.

Nouvelle donne en matière de cybercriminalité

Les cyberattaquants usant de ransomwares, y compris les fournisseurs de Ransomware-as-a-Service (RaaS), nouent souvent des alliances avec des courtiers d’accès initiaux. Grâce à ces derniers, les attaques par rançongiciel fonctionnent en effet plus rapidement, provoquant des dégâts plus importants. Puisqu’ils n’ont plus à rechercher cibles et accès, les attaquants peuvent immédiatement commencer à chiffrer les fichiers et à lancer leur attaque à une échelle beaucoup plus grande.

Si nombre de cyberattaquants font appel aux IAB, ils sont aussi nombreux à se tourner vers cette spécialisation. Ils optimisent leurs investissements et compétences en se concentrant sur une seule étape. Bien que les récompenses obtenues puissent être inférieures à la rançon payée par une organisation de premier plan, cela fournit un flux constant de revenus fiables avec un risque réduit. C’est sur les étapes ultérieures de l’attaque que les cybercriminels risquent davantage de se faire repérer et attraper.

Les principaux chemins d’accès vendus par les IAB

Le plus souvent, les IAB obtiendront et vendront l’accès au réseau d’une entreprise via les chemins d’accès suivants :

Cloud moderne et identités hybrides: les comptes Microsoft 365 ou Single Sign On (SSO) représentent une cible courante, permettant aux acteurs de la menace d’accéder aux mails et aux données de l’entreprise directement via le cloud.
Remote Desktop Protocol (RDP): les cybermenaces utilisent des outils d’analyse (comme Shodan) pour rechercher des réseaux avec des ports RDP ouverts sur Internet, puis emploient la force brute, le credential stuffing et d’autres techniques d’attaque pour accéder aux instances RDP vulnérables.
Technologie de réseau privé virtuel (VPN): les IAB peuvent exploiter les identités compromises ou les vulnérabilités des services VPN courants pour obtenir, puis vendre, un accès au réseau.

Les identités et accès en vente sur les places de marché IAB ne sont plus seulement des identifiants compromis. Ce sont aussi des empreintes digitales d’appareils, des cookies de navigateur et des accès RDP ou VPN. Ceux-ci peuvent être utilisés pour contourner les contrôles de sécurité courants en amenant l’utilisateur directement dans le réseau en tant qu’utilisateur légitime, ou en donnant l’impression que l’attaquant a la bonne géolocalisation, le bon appareil et qu’il s’est déjà authentifié à l’aide du MFA.

Les bonnes pratiques pour arrêter les IAB

Voici les quatre principales stratégies à déployer pour défendre un réseau et déjouer le stratagème d’un attaquant.

Réduire le risque grâce au moindre privilège : les utilisateurs disposant de droits d’administrateur ou d’un accès excessif aux systèmes constituent des cibles de choix. En effet, ils permettent aux courtiers d’accès initiaux d’accéder au point de départ idéal pour les mouvements latéraux, le vol d’identifiants et l’élévation des privilèges.
Utiliser le MFA mais pas n’importe lequel : le MFA de base présente des faiblesses. Fast Identity Online (FIDO2) utilise l’authentification locale et la cryptographie à clé publique asymétrique pour introduire une authentification décentralisée, améliorer la sécurité et résister à la fatigue MFA et à d’autres attaques.
Donner aux collaborateurs un accès, pas un VPN (ou RDP) : donner aux utilisateurs uniquement l’accès aux systèmes dont ils ont besoin de manière contrôlée et auditable.
Découvrir les comptes dormants : les comptes par défaut, dormants et orphelins sont souvent les meilleurs amis d’un courtier d’accès initiaux. De tels comptes fournissent une identité pré-approvisionnée, prête à être prise, et permet aux infiltrés de se fondre facilement.

Alors que les IAB représentent un sujet de préoccupation croissant, les menaces qu’ils représentent ne sont fondamentalement pas différentes des autres attaques. La plus grande préoccupation, pour la plupart des organisations, est de ne pas remarquer qu’elles ont non seulement été compromises mais que l’accès à leurs systèmes est également vendu aux enchères.

Pour lutter contre les courtiers d’accès initiaux et autres menaces, il est important non seulement de gérer de manière proactive les identités, les privilèges et l’accès au sein de l’environnement, mais aussi d’envisager une approche de détection et de réponse aux menaces d’identité (ITDR). La gestion des accès à privilèges (PAM) réduit le risque de compromission et peut atténuer la capacité d’un attaquant à infliger des dommages.

L’ITDR (Identity Threat Detection and Response) s’appuie sur cela en protégeant davantage les identités en combinant des informations sur les menaces, les meilleures pratiques, des outils et des processus pour détecter, enquêter et répondre aux changements de posture et aux activités suspectes, au fur et à mesure qu’ils se produisent.