Les courtiers d'accès initiaux (ou IAB pour Initial access broker) sont des acteurs de la cybermenace spécialisés dans l'obtention d'accès non-autorisés aux réseaux et systèmes informatiques, ainsi que dans la vente de ces accès à d'autres cybercriminels tels que les groupes de rançongiciels. Les IAB font partie de l’économie des rançongiciels en tant que services[1],[2].
Description
Les IAB utilisent diverses méthodes pour obtenir des accès initiaux aux systèmes d'informations, notamment en exploitant les vulnérabilités des services RDP et VPN, en attaquant par force brute les identifiants et mots de passe, en exploitant des logiciels malveillants dérobant les informations de compte. Les accès sont souvent vendus aux enchères sur des forums criminels clandestins ou directement fournis à des groupes affiliés à des rançongiciels pour accélérer le processus des attaques[3],[4].
Les IAB recherchent l'accès aux réseaux privés virtuels, aux Remote Desktop Protocol, aux applications Web et aux serveurs de messagerie. Les services de messagerie sont utilisés pour perpétrer des attaques par hameçonnage et des fraudes au président[2].
En 2020, le prix moyen d'un accès au réseau est de 5 400 $. Le prix médian est de 1 000 $[1].
En fournissant un accès initial, les IAB permettent à d'autres cybercriminels, comme les groupes de rançongiciels, d'infiltrer plus rapidement les réseaux et de lancer des attaques sans perdre de temps à y accéder eux-mêmes. Ce modèle d'accès en tant que service - par analogie avec le modèle de logiciel en tant que service - offre évolutivité et efficacité aux opérations cybercriminelles. Les rançongiciels en particulier bénéficient particulièrement de la collaboration avec les IAB[3].
Références
Voir aussi