Lorsque les médias disent qu’une entreprise a été victime d’un ransomware, beaucoup pensent que des cybercriminels astucieux ont d’abord écrit le programme malveillant, puis qu’ils ont cherché pendant longtemps avant de trouver comment pirater le système et de pouvoir chiffrer les données confidentielles. C’est à cause de ce raisonnement que divers responsables croient encore que leur entreprise n’est pas assez intéressante pour que les cybercriminels dépensent autant de ressources.
Les choses sont très différentes dans le monde réel. Un cybercriminel moderne n’écrit pas lui-même le programme malveillant ; il le loue et il ne dépense aucune ressource pour le piratage. Il ne fait que consulter le marché parallèle des courtiers d’accès initial. Les experts de notre service Digital Footprint Intelligence ont cherché à savoir quelles sommes d’argent sont en jeu lorsque les cybercriminels achètent et vendent les accès de l’infrastructure d’une entreprise.
Combien pour un accès ?
Combien les cybercriminels sont-ils prêts à payer pour accéder à votre infrastructure ? Cela dépend de plusieurs facteurs, mais le plus déterminant reste le chiffre d’affaires de l’entreprise. Après avoir analysé près de 200 annonces sur le darknet, nos experts ont pu tirer les conclusions suivantes :
- La plupart des annonces offrent un accès aux petites entreprises ;
- Près de la moitié des annonces vendent un accès pour moins de 1000 dollars ;
- Les ventes d’accès à plus de 5000 dollars sont très rares ;
- Le coût moyen d’un accès aux grandes entreprises oscille entre 2000 et 4000 dollars.
Bien sûr, ces tarifs ne sont pas si élevés que cela, mais les opérateurs de ransomware espèrent récolter beaucoup plus d’argent grâce à tous les efforts qu’ils font pour mettre en place ce chantage, et c’est pourquoi ils sont prêts à dépenser cette somme pour obtenir un accès initial. Il semblerait que les prix du marché ont été fixés selon la loi organique de l’offre et de la demande et selon un pouvoir d’achat bien connu.
Qu’est-ce qui est en vente ?
Les cybercriminels proposent différents types d’accès. Parfois, ce sont des renseignements sur une vulnérabilité qui peut être exploitée pour accéder à l’infrastructure. D’autres fois, ce sont les identifiants qui permettent d’accéder à Citrix ou au panneau d’hébergement du site. Pourtant, dans la plupart des cas (soit plus de 75 % des annonces), ils proposent une variante de l’accès via un protocole RDP, qui peut aussi être associé avec un VPN. Par conséquent, cette option d’accès à distance à l’infrastructure de l’entreprise doit faire l’objet d’une attention particulière.
Comment les cybercriminels obtiennent-ils un accès ?
Différentes solutions permettent d’avoir un accès initial. Les cybercriminels utilisent parfois la méthode la plus simple : le minage du mot de passe. La technique la plus utilisée consiste à envoyer des e-mails d’hameçonnage aux employés ou des messages avec des pièces jointes malveillantes (logiciels espions, ou encore stealers qui recueillent automatiquement les identifiants, les jetons d’authentification, les cookies et bien d’autres données stockées sur le dispositif infecté). Les cybercriminels peuvent aussi exploiter la vulnérabilité connue d’un programme avant que les administrateurs n’installent la mise à jour.
Vous trouverez les résultats détaillés de cette étude et des exemples réels d’annonces d’accès initial dans le rapport publié sur le site Securelist.
Comment vous protéger ?
Étant donné que l’accès à distance à l’infrastructure de l’entreprise via le protocole RDP est l’objet de la plupart des ventes, c’est ce protocole que vous devez avant tout protéger. Nos experts vous donnent les conseils suivants :
- Organisez l’accès RDP pour qu’il ne soit accessible que via un VPN ;
- Choisissez des mots de passe forts ;
- Utilisez une authentification au niveau du réseau, dans la mesure du possible ;
- Activez l’authentification à deux facteurs pour tous les services critiques.
Pour éviter que les mots de passe ne soient divulgués à cause de l’hameçonnage, nous vous conseillons d’installer des solutions de sécurité fiables, équipées d’une fonction anti-hameçonnage, sur les dispositifs des employés et au niveau de la passerelle de messagerie électronique. Pour plus de sécurité, vous devez régulièrement former vos employés en termes de cybersécurité.
De plus, cette surveillance est recommandée puisqu’elle permet de savoir si quelqu’un parle déjà sur le darknet d’un moyen d’accéder à l’infrastructure de votre entreprise. C’est cette surveillance que notre service Digital Footprint Intelligence effectue.