Courtiers d'accès : cinq conseils pour se protéger pendant les fêtes

Pendant les fêtes, les courtiers d'accès exploitent la baisse de vigilance des entreprises. Les tactiques incluent l'ingénierie sociale sophistiquée et l'exploitation des vulnérabilités locales.

Lors de la période des fêtes de fin d’année, les habitudes de travail des entreprises et des salariés changent : certaines d’entre elles mettent une partie de leur activité en pause et fonctionnent avec un effectif en charge de leur environnement IT réduit. D’autres s’apprêtent à vivre la période la plus exaltante de l’année. 

Or, combinée à l’euphorie générale, cette mue saisonnière qui touche la gestion des équipes et des activités commerciales ne va pas sans soulever certains risques, rendant les entreprises encore plus vulnérables à la cybercriminalité.

La fin d’année est en effet une période particulièrement intense pour les courtiers d’accès (access brokers), ces groupes malveillants qui volent des identifiants légitimes pour les revendre ou simplifient la tâche d’autres cybercriminels. Les courtiers d’accès profitent de cette période de « flottement » pour élaborer des campagnes d’ingénierie sociale, subtiliser davantage d’informations et gagner le plus d’argent possible en monnayant le fruit de leur larcin sur des forums clandestins. Dès lors, plusieurs questions se posent  : comment s’intègrent-ils dans l’écosystème cybercriminel et comment adaptent-ils leur activité à cette période particulièrement chargée du calendrier ? De leur côté, comment les entreprises peuvent-elles se préparer pour traverser ces quelques semaines en toute sécurité ? 

Qui sont les courtiers d’accès ?

Les courtiers d’accès se sont imposés au cœur de l’écosystème cybercriminel en simplifiant une myriade d’opérations criminelles. Le « métier » se porte bien  : pour preuve, le nombre d’annonces passées par ces cybercriminels au sein des communautés clandestines a augmenté de 147 %* entre juillet 2022 et juin 2023.

Nombre d’entre eux entretiennent d’étroites relations avec des groupes de ransomwares spécialisés dans la chasse au gros gibier (BGH — Big Game Hunting) et les membres de programmes prolifiques de ransomwares en tant que service (RaaS — Ransomware as a Service). Pour ces opérateurs, la période des fêtes est l’occasion idéale de lancer des campagnes de ransomware, d’extorquer des victimes et de trouver des cibles potentielles. Les courtiers d’accès les aident en exploitant ce changement saisonnier pour s’infiltrer à l’intérieur des entreprises et revendre les données d’accès à d’autres acteurs malveillants.

Comprendre le fonctionnement des courtiers d’accès pour mieux s’en défendre

De nombreux courtiers d’accès étudient soigneusement leurs victimes potentielles, analysent leur surface d’attaque pour identifier des failles susceptibles d’être exploitées ou utilisent des techniques d’ingénierie sociale sophistiquées pour tromper les employés et s’emparer de leurs identifiants. Pour pénétrer dans les entreprises, les courtiers d’accès recherchent le chemin de moindre résistance, faisant preuve d’une agilité redoutable pour échapper aux outils de détection et d’intervention sur les endpoints (EDR — Endpoint Detection & Response) qui se sont perfectionnés pour mieux les localiser. L’utilisation de logiciels malveillants personnalisés pour se frayer un accès initial a sensiblement diminué — 71 % des intrusions enregistrées en 2022 étaient exemptes de logiciels malveillants — car les auteurs de menaces privilégient des approches plus subtiles.

Les courtiers d’accès sont remarquablement organisés  : ils annoncent le succès de leurs offensives sur des forums clandestins, présentant souvent leur offre de façon détaillée en indiquant par exemple le secteur d’activité de leurs victimes, leur chiffre d’affaires et l’exploitation de leurs actifs. Les chasseurs de gros gibier apprécient tout particulièrement ces informations car elles leur permettent d’identifier leurs futures proies. Dans certains cas, les courtiers d’accès éliminent le coût initial des opérateurs de ransomware en aval en utilisant un modèle de partage des bénéfices. Ces annonces cimentent la collaboration entre les courtiers d’accès et les chasseurs de gros gibier, faisant de l’écosystème cybercriminel un redoutable adversaire pour toutes les entreprises.

Les fêtes de fin d’année, du pain béni pour les courtiers d’accès

L’année dernière, les annonces publiées par les courtiers d’accès ont culminé avant et après les fêtes. Si ce schéma n’est pas immuable, les semaines à venir semblent être une période particulièrement appréciée des courtiers d’accès, et ce pour plusieurs raisons :

  • un personnel réduit : pendant les périodes de congés, les équipes IT et Sécurité travaillent souvent en sous-effectifs et les forces vives disponibles pour détecter les comportements anormaux, traquer les menaces ou appliquer des correctifs sont moins nombreuses. Un contexte qui offre aux courtiers d’accès de nouvelles opportunités de prendre pied à l’intérieur des entreprises en vue de voler et de revendre davantage de données ;
  • vive les vacances  ! : Cette période povoque également des oublis de mot de passe. Les employéss qui, à leur retour, demandent de nouveaux identifiants sont plus vulnérables aux attaques de phishing. En effet, les équipes de support IT ou d’assistance se contentent trop souvent du strict nécessaire et négligent les bonnes pratiques d’usage. À titre d’exemple, des courtiers ont récemment usurpé l’identité d’utilisateurs légitimes et ouvert un ticket d’assistance pour accéder à leur compte ;
  • les affaires sont florissantes : des secteurs tels que le retail, l’hôtellerie ou le voyage vivent l’une des périodes les plus fastes de l’année . Ces entreprises se trouvent donc en position de faiblesse lors du processus d’extorsion, car elles doivent maintenir leur activité au cours d’une saison particulièrement chargée tout en évitant les violations de réglementations. Conscients de cette situation, les courtiers annoncent la possibilité d’accéder à ces entreprises au moment opportun et à des tarifs adaptés, sachant que d’autres adversaires souhaiteront passer à l’offensive.

Alors, quelles sont les principales tactiques utilisées par les courtiers d’accès pour s’installer dans l’infrastructure de leurs victimes ?

Des campagnes d’ingénierie sociale bien conçues

Réputé pour le courtage d’accès et le « big game hunting », l’un des groupes les plus célèbres découverts en 2023 utilise une technique d’ingénierie sociale avancée pour récolter des identifiants, ciblant plusieurs secteurs d’activité tels que les biens de grande consommation, les télécommunications ou l’immobilier. Dans de nombreux cas, des ransomwares sont déployés.

Tout au long de ses attaques, le groupe utilise systématiquement des tactiques d’ingénierie sociale pour contourner les outils d’authentification multifacteurs (MFA). Ils conjuguent ainsi l’utilisation de sites de collecte d’identifiants, de techniques d’hameçonnage par SMS (smishing), d’échange de cartes SIM (SIM swapping), de fatigue numérique liée à l’excès de notifications MFA, ou d’ingénierie sociale via l’hameçonnage vocal (vishing) pour obtenir un accès initial. Une fois installé, le groupe évite d’utiliser des logiciels malveillants uniques, privilégiant le recours à un large éventail d’outils tout à fait légitimes de gestion à distance pour pérenniser sa présence.

Exploitation des sites Web et des ressources locales (LotL)

Les courtiers d’accès sont également friands d’une méthode qui consiste à exploiter des applications en contact direct avec le public et les vulnérabilités liées à l’exécution de code à distance (RCE — Remote Code Execution). Une fois entré dans l’entreprise, l’auteur de menaces devient « persistant » en déployant des mécanismes webshell standard pour collecter des informations relatives à l’identité des machines (clés SSH ou RSA). L’utilisation d’outils de ligne de commande classiques lui permet en outre d’effacer les journaux système pour échapper aux radars.

Comment se protéger contre les courtiers d’accès durant les fêtes de fin d’année et préparer l’après :

  1. Maîtriser l’environnement  : l’adage selon lequel « on ne peut protéger ce que l’on ne peut voir » a rarement rencontré un tel écho. Ces dernières années, bon nombre d’entreprises ont accéléré l’utilisation de leur infrastructure en cloud, élargissant par la même occasion leur empreinte numérique. Cela oblige les équipes Sécurité à acquérir une vision « extérieure » de la surface d’attaque de leur entreprise pour identifier les zones d’exposition et combler les failles de sécurité. En deux mots, les entreprises ne doivent pas attendre que l’adversaire frappe, mais cartographier leurs actifs, visualiser les voies d’attaque existantes et y remédier.
  2. Priorité à la protection des identités  : l’utilisation croissante des techniques d’attaque sans malware, de l’ingénierie sociale et d’autres tentatives de vol et utilisation d’identifiants justifie le recours à une protection renforcée des identités. Lancée par la CISA, l’agence américaine en charge de la sécurité des infrastructures et de la cybersécurité (Cybersecurity and Infrastructure Security Agency), l’initiative « Shields Up » recommande vivement aux entreprises d’adopter l’authentification multifacteurs (MFA), ainsi que d’identifier et d’évaluer rapidement les comportements inhabituels sur le réseau. Des règles d’accès conditionnel basées sur le risque sont préconisées pour alléger les contraintes liées à l’authentification multifacteurs au niveau des utilisateurs légitimes.
  3. La formation aux réseaux sociaux est elle aussi primordiale  : les entreprises ne doivent en aucun cas annoncer la fermeture d’une unité ou la transformation d’un service IT sur leurs réseaux sociaux. De même, elles doivent exiger de leurs employés qu’ils n’y partagent pas leurs données personnelles. Il est essentiel d’apprendre aux employés à ne pas communiquer leurs identifiants lors d’un appel au support technique, dans leurs messages électroniques ou à l’ouverture d’un ticket d’assistance. Et bien sûr, il est absolument interdit de publier les coordonnées de cadres ou d’experts IT sur les sites Web. Une telle maladresse aide les attaquants à usurper leur identité.
  4. Renforcer la protection de l’informatique en cloud : le nombre de cas d’exploitation du cloud enregistrés en 2022 a augmenté de 95 % en un an. Les adversaires ciblent violemment les infrastructures cloud et font feu de tout bois dans leurs tactiques, techniques et procédures pour compromettre les données et les applications critiques qui y sont déployées. La neutralisation des failles sur le cloud passe, premièrement, par la mise en œuvre de capacités sans agent pour assurer une protection optimale contre les configurations erronées, ainsi que les attaques menées contre le plan de contrôle et les identités. Deuxièmement, par une protection des runtimes contre les attaques visant les charges de travail sur le cloud.
  5. Bien connaître ses adversaires : les entreprises dépensent beaucoup de temps et d’argent pour se protéger contre des ennemis fantômes et des alertes bruyantes sans pour autant savoir qui se cache derrière les cyberattaques ni pourquoi et comment. Si l’adversaire n’est pas clairement identifié, il est difficile de lutter efficacement. 

En résumé, les entreprises doivent, primo, investir dans des renseignements qui leur indiquent qui est à l’origine des attaques. Il est nécessaire de connaître l’identité mais aussi les motivations, les capacités et les outils de leurs adversaires ; secundo, utiliser des services de veille chargés de scruter continuellement les forums clandestins à la recherche d’identités exposées et de données ayant fuité avant d’avertir l’équipe Sécurité lorsque des identifiants lui appartenant sont détectés ; et tertio, surveiller les sites Web ou les domaines nouvellement créés qui tentent de les imiter. Les sociétés qui ne disposent ni du temps ni des ressources nécessaires peuvent collaborer avec un tiers pour minimiser ce type de risques.

C’est en forgeant qu’on devient forgeron  : les entreprises doivent favoriser la mise en place d’un environnement qui effectue régulièrement des simulations. Des exercices d’oppositions attaque-défense (Red Team contre Blue Team) permettent d’identifier les lacunes existantes et d’éliminer les points faibles dans le domaine de la réponse aux cyberattaques.

Il est capital de devancer les adversaires en disposant d’une visibilité complète de ce qui se passe au niveau des endpoints, ainsi que de traquer les intrus cachés en recherchant les mécanismes webshell et les outils de télésurveillance potentiellement actifs dans l’environnement opérationnel. Enfin, de nombreuses équipes d’experts connaissent le fonctionnement et les outils des courtiers d’accès et, à ce titre, peuvent aussi aider les entreprises à atténuer les menaces cachées.

Face à des services de support informatique moins attentifs, à des équipes Sécurité en sous-effectifs et à des employés qui demandent de nouveaux identifiants à leur retour de congés, les entreprises doivent mettre en œuvre des moyens de défense solides pour empêcher les courtiers d’accès d’endosser le costume du Père Fouettard et de remplir leur hotte de précieux identifiants.