Vous êtes-vous déjà demandé combien coûte l'accès à un réseau compromis? Un nouveau rapport révèle que le prix initial d'accès au réseau a triplé en septembre par rapport à août.
L'accès initial au réseau est ce qui permet aux pirates malveillants d'accéder au réseau d'une organisation. Les acteurs de la menace qui le vendent (connu sous le nom de «courtiers d'accès initial») créer un pont entre les campagnes opportunistes et les attaquants ciblés. Dans la plupart des cas, ce sont des opérateurs de ransomware. Les chercheurs de KELA indexés avec succès 108 listes d'accès au réseau partagées sur les forums de piratage populaires le mois dernier. La valeur totale du prix demandé était supérieure $500,000.
Comment les acteurs de la menace calculent-ils le prix de l'accès au réseau?
En analysant le top 5 les accès les plus chers et les TTP de leurs vendeurs, les chercheurs ont créé une hypothèse. Ils pensent que le prix dépend des revenus de la victime et du niveau de privilèges que l’accès au réseau permet. Par exemple, l'accès administrateur du domaine peut provenir de 25% à 100% plus cher que l'accès utilisateur.
Comment fonctionne la vente de l'accès initial au réseau?
En déployant davantage la chaîne d'approvisionnement, les chercheurs ont constaté que les courtiers d'accès initial obtiennent leur point d'entrée prêt à la vente en trois étapes:
1. Trouver un vecteur d'infection initial
Tel que révélé par les conversations sur les forums de cybercriminalité, il existe plusieurs possibilités qui accordent cet accès. Infection par botnet, protocoles d'accès à distance comme RDP et VNC, et logiciel d'accès à distance, bientôt connu comme VPN, font partie des meilleurs choix.
Transformer le vecteur d'infection initial en un compromis plus complet
Basé sur le vecteur initial de compromis, les types d'accès initiaux varient. La tâche la plus importante maintenant est d'élargir à la fois la portée de l'accès et les privilèges acquis afin qu'ils soient attractifs pour un acheteur potentiel.
« Tson attractivité découle de l’objectif opérationnel de l’acheteur, car différents acteurs peuvent avoir des demandes différentes d'un accès potentiel au réseau,"Note le rapport.
La plupart des acheteurs étant supposés être des opérateurs de ransomware ou des affiliés, il est important de garder à l'esprit que l'étendue de l'accès au réseau n'a pas à être idéale: ça doit juste être assez bon. Une opération de ransomware réussie ne doit pas nécessairement verrouiller des milliers de points de terminaison à l'unisson parfait - parfois, le verrouillage de quelques serveurs clés et l'extraction de données de plusieurs autres peuvent suffire à monétiser l'accès.
3. Décider comment l'accès est fourni à un acheteur
Selon KELA, cette étape est cruciale car les deux autres: les courtiers d'accès initial devraient créer un canal d'entrée durable pour les autres cybercriminels.
Comme dans les relations commerciales habituelles, certains vendeurs sont flexibles et partent des besoins de leurs clients: ils peuvent leur fournir l'accès adapté à leurs objectifs. C'est pourquoi certains vendeurs ont tendance à se demander comment un acheteur utilisera l'accès et n'acceptera que les clients "expérimentés", les notes de rapport.
Longue histoire courte, une fois que cet accès est chez les acheteurs’ mains, il peut se transformer en point d'entrée sur tout un réseau. Les attaquants peuvent désormais exécuter des commandes et diffuser des logiciels malveillants.
Plus de détails sont disponibles dans Analyse approfondie de KELA.