Blog WatchGuard

Les ventes d’identifiants sur le marché noir battent leur plein

Le Dark Web compte plusieurs dizaines de pages et de forums clandestins qui ne sont pas référencés par les moteurs de recherche, et qui restent donc dans l’ombre, à moins que l’utilisateur n’en connaisse l’adresse précise. On trouve notamment des forums de discussion sur lesquels des techniques ou des outils destinés à perpétrer des cyberattaques sont partagés, mais ces sites font également office de marché noir pour l’achat et la vente de données obtenues de façon illégale. Il va sans dire que toutes ces transactions qui relèvent du marché noir sont réalisées au moyen de cryptomonnaies et d’autres méthodes difficilement repérables par les autorités.

IAB et RaaS

Ces sites sont de plus en plus utilisés pour lancer des campagnes de ransomware dans le cadre desquelles les pirates informatiques investissent une poignée de dollars pour acheter des outils ou des identifiants complets et réclamer une rançon de plusieurs milliers de dollars si leur tentative s’avère fructueuse. Deux « acteurs » principaux interviennent sur ces marchés :

  • Les courtiers d’accès initial (IAB) : des personnes ou des groupes qui parviennent à se procurer des données tels que des codes d’accès aux réseaux d’entreprises, ce qui représente une denrée particulièrement précieuse.
  • Les opérateurs de ransomware : les acheteurs de ces identifiants qui mettront ensuite à exécution une voire des campagnes d’actions malveillantes en utilisant ces données, ou comme c’est de plus en plus le cas, ces opérateurs proposent leurs services en tant que groupe RaaS (Ransomware-as-a-Service) aux pirates informatiques qui lancent ensuite l’attaque.

Multiplication par trois

Il y a quelques semaines, un groupe d’analystes spécialisés dans la cybersécurité a publié un rapport dans lequel sont analysés plusieurs centaines de ces forums qui pullulent sur le Dark Web ; le rapport fait état d’une augmentation du nombre d’identifiants d’accès aux réseaux d’entreprises mis en vente, passant de 362 lors de l’étude précédente à 1 099, ce qui représente une multiplication par trois en l’espace d’un an.

Le rapport révèle que la demande sur ce marché a augmenté en conséquence de la prolifération des cyberattaques par ransomware. Les millions de dollars de rançons que de nombreuses entreprises se résignent à payer incitent en effet un grand nombre d’individus et de groupes à se lancer sur ce marché. Le rapport révèle par ailleurs que cette augmentation s’explique principalement par l’essor du télétravail induit par la pandémie. Bon nombre des identifiants proposés à la vente sont en corrélation avec des outils VPN et RDP.

Point d’accès distant (RAP pour Remote Access Point)

Notre rapport sur la sécurité d’Internet au troisième trimestre 2021 met en exergue cette explosion des ransomwares et des cyberattaques qui mettent à profit les outils utilisés pour télétravailler. Face à ces menaces, il est recommandé aux entreprises de déployer des solutions de point d’accès distant (RAP) qui permettent un accès totalement sécurisé à leurs réseaux.

Qu’il s’agisse d’une succursale ou d’un bureau à domicile, les salariés sont ainsi connectés à un point d’accès Wi-Fi fiable, lequel est relié, via un réseau VPN IPSec IKEv2, aux bureaux centraux où les serveurs sont hébergés, qui sont eux-mêmes protégés par un firewall de nouvelle génération.

Cela permet en outre aux équipes informatiques de l’entreprise de gérer les accès à distance au réseau facilement et de manière centralisée et de garder un contrôle strict sur les autorisations et les identifiants, car elles peuvent également mettre en œuvre des solutions d'authentification multifacteur (MFA) pour vérifier et gérer correctement l’identité de chaque utilisateur : les réseaux de l’entreprise sont ainsi bien mieux protégés contre les tentatives des IAB destinées à mettre la main sur des identifiants.