S’introduire sur le réseau d’une entreprise est une des étapes du travail d’un cybecriminel. Il pourrait être aidé par des accès au réseau des entreprises déjà préétablis. Deux spécialistes Thomas Willkan et Paul Mansfield, analystes principaux de l'équipe CTI Reconnaissance d'Accenture, montrent que les forums présents sur le dark web vendent ce type de prestation pour des prix allant de 300 à 10 000 dollars. Ces prix dépendent de la taille de l’entreprise visée et apporte un accès au réseau déjà compromis.

Pour les deux spécialistes, « la vente des accès au réseau a progressé, passant d'une offre de niche sur les forums underground tout au long de 2017 à un pilier central de l'activité criminelle en 2020 ». Ils précisent aussi que ce regain d’intérêt s’explique par le fait que groupes de ransomwares comme Maze ou Sodinokibi pourraient lancer plus facilement des attaques en disposant de ces précieux sésames. Avec ces derniers, les cybercriminels peuvent se concentrer sur d’autres étapes du piratage comme la persistance et la progression latérale.

Une manne pour les gangs et pour les vendeurs

Sur les forums, les offres d’accès au réseau sont annoncées avec des informations sur le secteur d’activité de la victime (banque ou grande distribution), le titre d’accès à vendre ((VPN, Citrix ou protocole de bureau à distance, par exemple), le nombre de machines sur le réseau, le pays dans lequel la victime opère et plus encore (comme le nombre d'employés ou le chiffre d'affaires de l'entreprise).

En septembre, les chercheurs ont suivi plus de 25 vendeurs proposant des accès réseau. Ils opèrent sur les mêmes forums où circulent des acteurs associés aux gangs de ransomware Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi, etc. « Même s’il est difficile de prouver qu’un accès à un réseau soit lié à une attaque spécifique de ransomware, l’analyse de l’activité de ses acteurs nous montre avec un grand degré de confiance que certains des accès ont été achetés par des gangs de ransomwares et des groupes périphériques », affirment les experts. Dans leur analyse, les connexions RDP compromises constituent le vecteur d’attaque le plus courant. Les cybercriminels proposent également des clients Citrix et Pulse Secure VPN compromis.

Autre tendance, les vendeurs d’accès réseau commencent à utiliser des failles « zero day » et à vendre l’accès au réseau lui-même, sans monnayer la vulnérabilité uniquement. C’est ce qu’à fait un acteur nommé Frankknox, qui a promu un zero day sur un serveur de messagerie populaire pour 250 000 dollars, puis a finalement arrêté la vente pour utiliser la faille et vendre les accès au réseau d’une trentaine d’entreprises pour 2 000 à 20 000 dollars.