Exploit Forum, Initial Access Brokers et Cybercriminalité sur le Dark Web

Cet article a été mis à jour le 5 septembre 2025..

Commettre des cybercrimes sophistiqués est aujourd'hui d'une simplicité déconcertante comparé à il y a quelques années. L'accent étant mis sur la simple connexion plutôt que sur le piratage, les obstacles sont moins nombreux qu'auparavant. 

Le forum Exploit, tristement célèbre sur le dark web, est un point de ralliement pour les acteurs malveillants de l'écosystème cybercriminel russophone. Sur ce forum, ils partagent diverses techniques de piratage, des exemples de logiciels malveillants et des preuves de concept d'exploits. 

Certains acteurs malveillants sur Exploit sont courtiers en accès initial (IAB)Certains vendent des informations permettant d'accéder aux environnements des organisations, notamment grâce à des privilèges d'administrateur ou via des VPN. D'autres peuvent enchérir sur ces informations par le biais d'un système d'enchères, de messages privés ou directement dans la discussion. 

Que sont les courtiers d'accès initial ? 

Courtiers d'accès initial Les groupes de cybercriminels (IAB) sont des acteurs de la menace spécialisés dont le seul objectif est de s'introduire dans les réseaux d'entreprise et de revendre ces accès à d'autres criminels. Plutôt que de mener eux-mêmes des attaques par rançongiciel ou des vols de données, les IAB consacrent leur temps à compromettre les organisations en exploitant des VPN vulnérables, en utilisant des identifiants volés dans les journaux de cybercriminels ou en lançant des campagnes d'hameçonnage ciblées contre les employés disposant d'accès privilégiés.

Une fois qu'ils ont pris pied dans le système – souvent avec des privilèges d'administrateur de domaine – ils mettent l'accès en vente sur des forums du dark web comme Exploit, XSS et RAMP. Leurs annonces comprennent généralement les détails importants pour les acheteurs : le pays de la victime, son secteur d'activité, son chiffre d'affaires annuel, le nombre de terminaux compromis et le type d'accès obtenu. Les prix varient de quelques centaines de dollars pour les petites cibles à 50 000 $ ou plus pour les entreprises du Fortune 500 disposant d'un accès privilégié.

Que font les IAB ?

L'essor des IAB (Integrated Abuse Business Groups) complexifie davantage le paysage de la cybersécurité. Spécialisés dans l'intrusion dans les systèmes, le nettoyage des données volées, ils revendent ensuite cet accès au plus offrant, permettant ainsi à des cyberattaques de plus grande envergure de se livrer à des intrusions plus complexes. Ce type d'acteur malveillant offre en quelque sorte un raccourci aux cybercriminels, facilitant l'accès aux cyberattaques sophistiquées.

L'impact du dark web sur la cybersécurité est important et croissant. Alors que les cybermenaces continuent d'évoluer en complexité et en ampleur, l'importance d'un renseignement complet sur les cybermenaces ne peut être surestimée. 

Bref historique des IAB

Depuis les années 1980, époque où les cybercriminels ont commencé à se rassembler sur les premiers réseaux internet, ils s'entraident pour s'introduire dans les systèmes et contourner les mesures de sécurité. Au fil du temps, la cybercriminalité, moins axée sur l'expérimentation et la rébellion, est devenue davantage motivée par le gain financier ; les accès initiaux ont alors été vendus plutôt que partagés. Les kits d'exploitation développés dans les années 2000 ont offert aux acheteurs une solution clé en main pour exploiter les vulnérabilités courantes. 

Avec la popularisation de ces pratiques et l'apparition de nouveaux produits et services facilitant la cybercriminalité, le phénomène a attiré l'attention croissante des criminels et des forces de l'ordre. Les forums qui opéraient auparavant dans les recoins obscurs du « web classique » ont migré vers le dark web pour échapper à la surveillance à partir des années 2010. 

Cette évolution a permis aux courtiers en accès initial de se réinventer. L'anonymat du dark web a directement favorisé l'essor de plateformes comme Exploit, qui imitent fidèlement l'apparence et le fonctionnement des sites de commerce électronique légitimes. Les courtiers en accès initial disposent désormais d'un moyen simple d'atteindre les acheteurs, de réaliser des transactions et de promouvoir leurs services, ce qui stimule l'offre et la demande. 

Les IAB ne sont peut-être pas une nouveauté, mais ils n'ont jamais été aussi accessibles ni aussi nombreux qu'aujourd'hui, et tout porte à croire que leur rôle dans la cybercriminalité et leur présence sur le dark web ne feront que croître. 

Exploration du marché des acteurs de la menace

Parmi les recoins cryptés du dark web, Exploit se distingue comme un véritable centre névralgique de l'activité cybercriminelle. Forum de la langue russe a acquis une réputation tristement célèbre en tant que marché en ligne où les acteurs de la menace achètent et vendent des biens et services illicites liés à la cybercriminalité.

Qu'est-ce qui est vendu sur Exploit ?

Exploit offre un lieu de rencontre aux acteurs de la cybermenace. L'anonymat qu'offre cette plateforme alimente une économie souterraine florissante centrée sur :

• Données personnelles volées
• Credit card information
• Informations d'identification volées
• Ransomware
• Botnets
• Kits de phishing

Ce qui rend Exploit particulièrement préoccupant, c'est son accessibilité. En permettant à des acteurs malveillants de tous niveaux de compétence de se procurer des outils et des services de cybercriminalité, il élargit considérablement le vivier potentiel de cybercriminels. De plus, il favorise une communauté de collaboration, permettant aux acteurs de la cybermenace de partager leurs ressources. tactiques, techniques et procédures, faisant ainsi continuellement évoluer leurs méthodologies de gestion des menaces.

Exploitation et IAB

Le forum sert également de plateforme aux IAB (Integrated Internet Abuse Broker). Ces intermédiaires s'introduisent dans les réseaux d'entreprises et revendent l'accès obtenu, ainsi que des informations complémentaires pertinentes, à d'autres acteurs malveillants. Ce modèle de « cybercriminalité à la demande » représente une menace importante, car il permet aux acteurs malveillants de tous niveaux de lancer des attaques sophistiquées.

Pour les entreprises et les organisations, il est essentiel de comprendre le fonctionnement de plateformes comme Exploit afin d'anticiper les menaces potentielles. Le renseignement sur les cybermenaces joue un rôle crucial à cet égard, en fournissant des informations sur les vulnérabilités potentielles, les techniques actuelles des acteurs malveillants et les dernières tendances du monde de la cybercriminalité. 

Un regard plus attentif sur un marché noir

Notre propre recherche sur l'exploitation Les organisations de cybercriminels qui y opèrent insistent sur le fait qu'elles facilitent l'accès au cybercrime. Dans les annonces que nous avons étudiées, le prix moyen d'une vente éclair, équivalente à l'option « achat immédiat » d'une vente aux enchères en ligne, était de 4 699,31 $. Mais une fois les valeurs aberrantes exclues, la moyenne est tombée à seulement 1 328,23 $. Nous avons constaté des annonces à partir de 150 $, et quelques-unes atteignant même 120 000 $.

En tant qu'entreprises qui rationalisent et simplifient les cyberattaques pour autrui, il n'est pas surprenant qu'elles s'efforcent de satisfaire leur clientèle. Elles peuvent vendre l'accès à des cibles de grande valeur à des pirates informatiques d'élite à prix d'or. La plupart des offres, cependant, ciblaient des entreprises plus petites et étaient vendues à des prix accessibles à n'importe quel criminel. 

À l'instar des vendeurs sur Amazon ou eBay, les courtiers en accès initial s'efforcent d'attirer, d'acquérir et de fidéliser des clients sur un marché de plus en plus concurrentiel. Malheureusement, pour tous les autres, cela se traduit par une augmentation des vols d'identifiants, des cyberattaques plus virulentes et des pertes financières plus importantes. 

Voir au-delà de l'exploitation

Exploit est certes l'une des plateformes les plus connues pour les courtiers en accès initial, mais elle est loin d'être la seule où ils opèrent, que ce soit sur le dark web ou ailleurs. Voici quelques alternatives majeures : 

• XSSDe nombreux acteurs malveillants présents sur Exploit utilisent également XSS, un site du dark web similaire qui propose aux enchères l'accès initial et d'autres ressources illicites. La création d'un compte y est gratuite et relativement simple, ce qui rend ce forum attractif pour les novices en cybercriminalité et les entreprises de cybercriminalité qui souhaitent leur vendre leurs services. 
• RAMPBien que similaire à Exploit et XSS à bien des égards, Ramp se distingue par sa capacité à autoriser les discussions sur les Rançongicielss et à permettre l'utilisation du chinois et d'autres langues, en plus du russe et de l'anglais. Ainsi, Ramp étend l'accès aux forums de discussion sur les Rançongicielss aux cybercriminels de tous les pays, quelles que soient leurs motivations. 
• TelegramCette application de messagerie, dont la modération est laxiste et qui affiche un fort engagement en matière de confidentialité, est devenue un véritable nid à cybercriminalité, avec des milliers de chaînes reliant les pirates informatiques à leurs complices et à leurs ressources. Telegram a adopté une position plus ferme contre les activités illégales depuis l'arrestation de son fondateur en 2024. Malgré cela, elle reste… toujours aussi populaire avec les IAB et d'autres acteurs qui contribuent à la réussite des cybercrimes. 

L'essor des courtiers en accès initial : une nouvelle menace dans la cybercriminalité

Une fois que les cybercriminels ont réussi à pénétrer les systèmes de défense des organisations, au lieu d'exploiter eux-mêmes cet accès, ils le revendent sur des plateformes comme Exploit. Cet accès est ensuite acquis par d'autres acteurs malveillants qui mènent des attaques plus ciblées et potentiellement plus dommageables, telles que des attaques par rançongiciel ou l'exfiltration de données.

Pourquoi la montée des IAB est-elle préoccupante ? 

La montée en puissance des IAB est particulièrement préoccupante pour plusieurs raisons :

1. Leur existence amplifie les dommages potentiels causés par les violations initiales, car l'accès peut être vendu au plus offrant, souvent des acteurs de la menace plus avancés. 
2. Ils ont effectivement rendu les cyberattaques sophistiquées plus accessibles, puisque désormais les acteurs de la menace de différents niveaux peuvent acheter un accès au réseau et lancer leurs propres attaques. 
3. Ce modèle augmente également l'efficacité globale de la cybercriminalité, car il permet à différents acteurs de se spécialiser puis de collaborer, augmentant ainsi la menace globale.

L'émergence des IAB souligne l'évolution constante des cybermenaces et la nécessité pour les entreprises de rester vigilantes et adaptables. Dans le cadre d'une stratégie globale de gestion de l'exposition aux menaces, les organisations gagneraient à prendre en compte les risques posés par ces intermédiaires et à s'assurer que leurs défenses peuvent contrer cette menace en constante évolution. Comprendre et surveiller ces évolutions dans le monde de la cybercriminalité est essentiel pour garder une longueur d'avance et sécuriser efficacement ses actifs numériques.

Profil d'un IAB

Les IAB peuvent faciliter et rendre plus économique le lancement continu d'attaques de Rançongiciels, même si de moins en moins de victimes paient. 

Prenons l'exemple d'un IAB, au nom inquiétant. « Fabricant de jouets » parce qu'ils ont franchi une étape unique en codant eux-mêmes logiciel malveillant voleur d'informationsIl peut dérober des identifiants sur n'importe quel système où il est déployé, voire créer des shells inversés et exécuter des commandes. Au-delà de la simple obtention d'un accès initial, Toymaker prend le contrôle d'un système avant de le transmettre à un autre acteur malveillant. 

Contrairement aux IAB qui vendent sur des plateformes d'enchères comme Exploit, Toymaker travaille exclusivement avec un groupe de pirates informatiques spécialisé dans les Rançongicielss, Cactus. Concrètement, Toymaker ouvre la porte, puis des hackers chevronnés, experts en localisation et chiffrement de données sensibles, prennent le relais. Cette collaboration permet aux deux parties de devenir des spécialistes dans leurs domaines respectifs (accès initial et Rançongiciels), tout en optimisant l'efficacité (et les profits) des attaques. C'est une situation gagnant-gagnant.

L'évolution des IAB

Si les IAB continuent d'évoluer sur leur trajectoire actuelle, nous pouvons nous attendre à deux résultats :

1. Plus d'IAB au total.

 Chaque année, l'écosystème de la cybercriminalité s'étend : davantage d'acteurs malveillants, d'attaques et de pertes. Les plateformes d'accès à Internet (IAB) contribuent largement à cette expansion en facilitant l'entrée en action des débutants et en permettant aux pirates confirmés de multiplier leurs attaques. Face à la demande croissante d'accès et à l'augmentation de l'offre d'identifiants divulgués, il faut s'attendre à voir se multiplier les IAB, les annonces de vente d'accès et probablement aussi les places de marché comme Exploit. 

2. Nous avons baissé les prix. 

Nombre de leurs clients ne peuvent ou ne veulent pas payer des prix élevés. De plus, ils ne souhaitent pas cibler les grandes entreprises en raison du risque accru. À l'instar de tout commerçant soucieux de la satisfaction de ses clients, les fournisseurs d'accès Internet (FAI) pourraient baisser le prix d'accès au fil du temps. L'augmentation du nombre d'identifiants divulgués, conjuguée à des prix d'accès initiaux plus bas, risque d'entraîner une hausse des pertes pour les entreprises, notamment les PME, victimes de cybercriminalité. 

Renforcer la cyberdéfense : répondre aux menaces du dark web

Face à un paysage de cybermenaces en constante évolution, marqué par la prolifération de plateformes comme Exploit et l'essor des IAB (Integrated Internet Abuse Business), le renforcement des cyberdéfenses est plus que jamais crucial. Les organisations peuvent mettre en œuvre plusieurs mesures stratégiques pour répondre efficacement à ces menaces provenant du dark web.

Donner la priorité aux renseignements sur les menaces 

Prévenu est prévenu. Investir dans une cybersécurité complète renseignements sur les menaces est une première étape cruciale. Cela implique de surveiller et d'analyser de manière proactive les informations sur les attaques potentielles, les acteurs de la menace et leur évolution. tactiques, techniques et procédures (TTP). Il est essentiel de comprendre non seulement le paysage des menaces de votre secteur, mais également le monde souterrain numérique plus large où ces menaces sont conçues et commercialisées.

Mettre en œuvre une cyber-hygiène robuste

Cela inclut la gestion régulière des correctifs pour remédier aux vulnérabilités logicielles, l'authentification multifacteurs, des contrôles d'accès stricts et la formation des employés à la sécurité. De nombreuses violations de données résultent d'attaques de phishing réussies, ce qui fait de l'erreur humaine une vulnérabilité majeure. Une formation régulière permet à votre équipe de se tenir informée des dernières techniques de phishing et autres menaces.

Adoptez une approche de confiance zéro 

Dans un modèle de confiance zéro, chaque utilisateur, appareil et flux réseau est considéré comme potentiellement compromis et doit être vérifié. Ce modèle minimise les dommages potentiels que les attaques par force brute peuvent causer, car l'accès aux ressources critiques reste restreint même en cas de violation du périmètre réseau.

Mettez en place une solution de surveillance du Dark Web

Solutions ou services spécialisés de surveillance sources du dark web et du deep web La détection de vols de données d'entreprise ou de menaces contre votre organisation peut fournir une alerte précoce en cas d'attaque imminente.

Exercices réguliers de réponse aux incidents

Tester régulièrement la réponse de votre équipe de sécurité à différents types de cyberattaques peut aider à identifier les points à améliorer et à garantir que votre équipe est prête à réagir efficacement en cas d'incident réel.

Le dark web représente une menace substantielle et évolutive. En comprenant ses complexités et la nature des acteurs de la menace comme les IAB, les organisations peuvent construire des défenses solides, neutralisant efficacement ces menaces et sécurisant leurs actifs numériques critiques.

Surveiller la cybercriminalité du dark web avec Flare

La fusée Gestion de l'exposition aux menaces (TEM) Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.