Get best of the week

Étude: le commerce d'accès aux réseaux d'entreprise se développe sur le marché noir

image

Les experts de Positive Technologies ont mené une étude des plateformes de trading sur le marché des cyberservices fantômes et ont constaté un regain d'intérêt pour l'accès au réseau d'entreprise: au premier trimestre 2020, le nombre d'offres de vente d'accès était de 69% plus élevé qu'au trimestre précédent. La tendance identifiée affecte considérablement la sécurité des infrastructures de l'entreprise lors du transfert massif d'employés vers le travail à distance.

Qu'est-il arrivé


Au quatrième trimestre 2019, plus de 50 accès aux réseaux de grandes entreprises du monde entier ont été mis en vente sur les forums de hackers (nous les avons comptés pour l'ensemble de 2018), et au premier trimestre 2020, il y avait plus de 80 accès. Le plus souvent, l'accès est vendu aux organisations industrielles, aux entreprises du secteur des services, de la finance, de la science et de l'éducation, des technologies de l'information (tout cela représente 58% des propositions au total).

S'il y a un an ou deux, les attaquants étaient principalement intéressés par l'accès à des serveurs uniques, qui coûtaient environ 20 $, alors à partir du second semestre 2019, il y avait une augmentation de l'intérêt pour l'achat d'accès aux réseaux locaux d'entreprises. Augmenté et le montant des transactions. Par exemple, maintenant pour l'accès à l'infrastructure, les entreprises avec des revenus annuels de 500 millions de dollars ou plus offrent jusqu'à 30% du bénéfice potentiel après la fin de l'attaque. Le coût moyen d'un accès privilégié au réseau local est maintenant d'environ 5 000 $.

image

Offres de vente d'accès aux réseaux sur le marché parallèle

Le nombre de victimes comprend aujourd'hui des organisations dont les revenus annuels varient de plusieurs centaines de millions à plusieurs milliards de dollars.

Le plus souvent, les accès sont vendus à des entreprises des États-Unis (plus du tiers de toutes les offres), les cinq premiers étant également l'Italie et le Royaume-Uni (5,2% chacun), le Brésil (4,4%), l'Allemagne (3,1%). De plus, dans le cas des États-Unis, ils vendent le plus souvent l'accès à des organisations du secteur des services (20%), à des entreprises industrielles (18%) et à des agences gouvernementales (14%). En Italie, les leaders de la demande sont l'industrie (25%) et les services (17%), et au Royaume-Uni - la science et l'éducation (25%) et le secteur financier (17%). Pour 29% de tous les accès vendus aux entreprises allemandes, il s'agissait de l'informatique et des services.

image

Le coût de certains accès atteint 100 mille dollars

En règle générale, les acheteurs d'un tel produit sont d'autres intrus. Ils ont accès à développer une attaque par eux-mêmes ou à embaucher une équipe de pirates expérimentés pour augmenter les privilèges sur le réseau et héberger des fichiers malveillants sur les nœuds d'infrastructure critiques de l'entreprise victime. L'un des premiers à adopter un tel schéma a été les opérateurs de cryptographes.

Comment se protéger


Nous nous attendons à ce que dans un proche avenir, les grandes organisations tombent sous le coup des contrevenants peu qualifiés qui ont trouvé un moyen de gagner facilement de l'argent. Au cours de la période de quarantaine mondiale, lorsque les entreprises transfèrent massivement leurs employés vers le travail à distance, les pirates informatiques rechercheront toute lacune ouverte dans les systèmes sur le périmètre du réseau. Plus l'entreprise, dont le réseau pourra accéder, est grande et plus les privilèges reçus sont élevés, plus le criminel peut gagner.

Afin d'éviter les problèmes, les experts de Positive Technologies recommandent aux entreprises de faire attention à la protection complète de l'infrastructure - à la fois sur le périmètre du réseau et sur le réseau local. Tout d'abord, vous devez vous assurer que tous les services sur le périmètre du réseau sont protégés et qu'un niveau suffisant de surveillance des événements de sécurité est fourni dans le réseau local pour identifier l'intrus. Une analyse rétrospective régulière des événements de sécurité vous permettra de détecter les cyberattaques précédemment manquées et d'éliminer la menace avant que les attaquants ne volent des informations ou arrêtent les processus métier.

La version complète de l'étude est disponible ici .

- . - , .

, 30 14:00, « » Positive Technologies , , MaxPatrol SIEM PT Network Attack Discovery. , MaxPatrol SIEM PT NAD .

, .

More articles:


All Articles