Rapport : Rapport - Stealer Logs & Corporate Access

Rapport - Courtiers d'accès initial, forums de piratage russes et économie clandestine de l'accès aux entreprises

Éric Clay

Mis à jour: 2023.08.16
Temps de lecture : 13 minutes

Télécharger le rapport PDF

Introduction

Plus de 100 entreprises de 18 secteurs ont eu accès à leur infrastructure informatique, leurs environnements cloud, leurs réseaux ou leurs applications vendus sur les forums de piratage russes jusqu'à présent en 2023. Les courtiers d'accès initiaux (IAB) opèrent sur plusieurs forums du dark web et se spécialisent dans l'accès aux informations d'entreprise. Des environnements informatiques qui sont ensuite vendus aux enchères ou vendus sur des forums du dark web.

Ces acteurs sont souvent sophistiqués, concentrés et spécialisés dans la recherche de vecteurs leur permettant d'accéder aux environnements d'entreprise. Dans de nombreux cas, ils réussissent également à accéder à une infrastructure informatique hautement sensible, même pour les grandes entreprises sophistiquées.

Pour cette analyse, Flare a examiné trois mois de messages initiaux de courtiers d'accès sur le forum de piratage russe Exploit. Au cours de cette période, nous avons observé des acteurs de la menace vendant l'accès à des sous-traitants américains de la défense, des sociétés de télécommunications, des fabricants de produits chimiques, des sociétés énergétiques et des entreprises à travers plusieurs plus d'un an. douzaine d'autres industries. 

Nous avons collecté, standardisé et normalisé 72 enchères d'accès initial de mai, juin et juillet pour mieux comprendre comment fonctionnent les courtiers d'accès initial, qui ils ciblent, combien ils vendent l'accès et à quel point certains courtiers sont actifs. 

Préface

  • L'accès aux infrastructures critiques américaines (telles que définies par la CISA), notamment les sous-traitants de la défense, l'approvisionnement alimentaire, les télécommunications et les sous-traitants du gouvernement, a été vendu aux enchères sur des forums de piratage russes entre le 1er mai et le 27 juillet 2023.
  • Les attaques contre des entreprises américaines ont été les plus courantes, avec 36 % de toutes les inscriptions au cours de la période annonçant l'accès à des victimes situées aux États-Unis.
  • Les sept principaux acteurs malveillants étudiés étaient responsables de 55 % des inscriptions, ce qui indique que quelques acteurs malveillants actifs sur le forum du dark web Exploit sont responsables de la majorité des publications. 
  • La finance et la vente au détail ont été les industries les plus ciblées au cours de cette période, suivies de la construction et de la fabrication. 
  • Le prix moyen de l'accès informatique d'entreprise sur Exploit au cours de la période étudiée avec les valeurs aberrantes supprimées est de 1,328 150 $. Les prix variaient de 120,000 $ à plus de XNUMX XNUMX $ selon le type d'accès vendu, le pays et l'industrie de la victime.
  • L'accès aux comptes RDP et VPN représentait le vecteur dans 60% de tous les messages de courtier d'accès initiaux.
  • Certains acteurs ont spécifiquement annoncé le manque de systèmes de sauvegarde dans les entreprises victimes ou ont annoncé qu'ils avaient accès à des systèmes de sauvegarde. Cela suggère que certains IAB s'attendent probablement à ce que l'accès qu'ils vendent soit utilisé pour des attaques de ransomwares. 
  • Sur la base des publications de courtiers d'accès initiaux actifs, les analystes de Flare estiment qu'il est fort probable que de nombreux courtiers d'accès initiaux obtiennent l'accès à partir de journaux de vol trouvés sur le marché russe, le marché Genesis et les chaînes Telegram publiques ou privées. 

Les courtiers d'accès initial en tant que clé de voûte de l'écosystème de la cybercriminalité

L'économie de la cybercriminalité continue de croître. Les acteurs de la menace opèrent désormais sur des milliers de canaux Telegram, plus de 100 forums et marchés Tor, et sur de nombreux médias sociaux et plateformes de messagerie cryptées. La majorité des activités de cybercriminalité sont axées sur la fraude à la consommation ; effraction dans des comptes bancaires, vol de crypto-monnaie et autres activités criminelles ciblant des individus. Seul un petit groupe d'acteurs plus sophistiqués est connu pour cibler les entreprises. 

Publier une publicité sur l'accès RDP pour une organisation de l'aérospatiale et de la défense basée aux États-Unis

Les acteurs de la cybercriminalité ciblant les environnements d'entreprise ou permettant le ciblage qui affecte les entreprises relèvent généralement de l'une des classifications suivantes :

Accès RPD post-publicité pour une organisation aérospatiale et défense basée aux États-Unis

Vendeurs de journaux voleurs : De nombreux acteurs de la menace distribuent des journaux de vol sur le marché russe, le marché Genesis et les canaux publics/privés de Telegram. Dans certains cas, dans le cadre de la distribution normale, les acteurs de la menace infectent par inadvertance 

ordinateurs avec des informations d'identification qui incluent l'accès à l'accès d'entreprise. Il s'agit probablement d'une source clé pour l'accès initial aux informations d'identification RDP/VPN qui peuvent être exploitées par les IAB pour établir et étendre l'accès. 

Groupes hacktivistes : Il existe de nombreux hacktivistes qui opèrent sur Tor et Telegram, y compris des groupes récemment créés tels que Killnet et Anonymous Sudan qui se concentrent sur l'attaque des infrastructures critiques et des agences gouvernementales des pays de l'OTAN. Ces groupes se trouvent souvent dans les grandes chaînes publiques de Telegram.

Gangs de rançongiciels : Les gangs de ransomwares produisent souvent des variantes spécifiques de ransomwares qu'ils distribuent eux-mêmes ou fournissent aux affiliés qui mènent des attaques et participent aux bénéfices. Les gangs de ransomware divulguent de plus en plus de données dans le cadre de schémas de double et triple extorsion, dans certains cas, les groupes de ransomware ne prennent même plus la peine de chiffrer les fichiers. Il existe de forts indicateurs qu'il existe un lien direct entre les courtiers d'accès initiaux et les attaques de ransomwares. 

Courtiers d'accès initiaux : Ces acteurs de la menace sont principalement actifs sur les forums de piratage russes XSS et Exploit. Ils se spécialisent dans l'obtention d'un accès initial aux environnements informatiques qu'ils revendent ensuite, susceptibles d'être utilisés par des gangs de rançongiciels, des affiliés, des États-nations et même d'autres IAB.

Ce rapport est axé sur les courtiers d'accès initial. Tous les messages ont été collectés sur le forum Web sombre Exploit et examinés par des analystes. Nous nous sommes concentrés sur l'extraction de fonctionnalités précieuses de chaque publication qui pourraient être utilisées pour comparer et contraster les données. 

L'anatomie d'une publication IAB 

Comprendre les messages IAB n'est pas toujours simple. Les messages de l'IAB sont souvent un mélange d'anglais et de russe, certains étant exclusivement rédigés en russe. Il existe également une terminologie spécifique utilisée par les courtiers d'accès qui peut ne pas être familière à l'anglophone moyen. 

Accès RPD post-publicité pour une organisation basée aux États-Unis
  • Type/Тип доступа : Décrit le type d'accès obtenu, le plus souvent un accès RDP ou VPN.
  • Industrie/Industrie : Décrit le secteur d'activité de l'entreprise victime. La finance, la vente au détail et la fabrication sont les trois cibles les plus courantes.
  • Niveau d'accès/Droits: Décrit le niveau de privilèges obtenu.
  • Chiffre d'affaires : Décrit les revenus de l'entreprise victime, souvent obtenus auprès de fournisseurs de données basés aux États-Unis et accessibles au public en ligne. 
  • Héberger en ligne : Décrit souvent le nombre d'hôtes de la victime et inclut parfois les systèmes antivirus et de sécurité en place. 
  • Date de début: Le prix de départ de l'enchère.
  • Étape: L'enchère augmente. 
  • Blitz: Le prix d'achat immédiat. 

Bien que de nombreux messages contiennent toutes ces données, il existe des écarts substantiels entre les messages. Les acteurs individuels de la menace ont souvent leur propre format pour les messages qui peuvent omettre certains types de données. En outre, certains acteurs de la menace ont délibérément omis des données et ont demandé aux acheteurs potentiels de leur envoyer un message sur Telegram pour plus d'informations, probablement dans le but d'empêcher les forces de l'ordre, les fournisseurs de renseignements sur les menaces et d'autres organisations de déterminer l'identité de la cible. 

Questions de recherche et hypothèses

Nous avons entrepris de répondre aux questions de recherche suivantes.

  • Quel est le prix moyen d'un "blitz" auquel un acteur de la menace vend un accès d'entreprise sans les valeurs aberrantes ? 
  • Quels pays sont les plus représentés dans les postes de l'IAB ?
  • Les acteurs de la menace ciblent-ils plus que d'autres des industries spécifiques ?
  • À quelle fréquence l'accès à l'infrastructure informatique des organisations classées comme infrastructure critique aux États-Unis par la CISA est-il vendu ?
  • Certains types d'accès sont-ils plus chers que d'autres ?
  • Quels sont les types d'accès les plus courants que les pirates obtiennent et vendent ?
  • Combien d'acteurs menaçants existent dans l'écosystème d'Exploit ? De quelle activité les principaux acteurs sont-ils responsables ?

Nous émettons l'hypothèse que les entreprises américaines seraient les plus ciblées au monde et que l'accès aux organisations américaines se vendrait plus cher que l'accès aux entreprises d'autres pays. De plus, nous nous attendons à ce que l'écosystème IAB sur Exploit soit varié, avec de nombreux acteurs de la menace fournissant des listes individuelles. 

Limites

  • Nous n'avons examiné que les données du 1er mai au 27 juillet 2023, ce qui nous a fourni un échantillon de 72 événements IAB. Bien que cette taille d'échantillon soit suffisante pour fournir des données intéressantes, elle limite certaines analyses statistiques. 
  • Les messages variaient en informations en fonction de l'acteur de la menace. Des données clés telles que l'industrie, le niveau d'accès, le type d'accès et d'autres éléments clés manquaient dans un petit nombre d'inscriptions de notre échantillon. Dans ces cas, les données ont été répertoriées comme "inconnues" pour l'analyse. 
  • Nous n'avons examiné que les IAB actifs sur un forum du dark web sur plusieurs forums où les courtiers d'accès sont actifs. Les données discutées dans cet article se concentrent uniquement sur le forum Web sombre Exploit. 

Le Blitz, l'accès aux enchères et la chasse à la baleine

Nous avons commencé notre analyse en examinant la moyenne "acheter maintenant" ou "blitz" pour une enchère d'accès initiale. Le prix moyen d'achat de l'accès initial dans tous les échantillons de notre ensemble de données était de 4,699.31 1,328.23 $, tandis qu'avec les valeurs aberrantes supprimées, il était de 150 120,000 $. Cela reflète en grande partie la gamme extrême d'inscriptions présentes dans l'ensemble de données. Les inscriptions étaient aussi bon marché que XNUMX $ et pouvaient aller jusqu'à plus de XNUMX XNUMX $ pour un accès unique à certains environnements informatiques dans des segments à forte valeur ajoutée.

Répartition des prix du blitz dans notre ensemble de données, à l'exception d'une valeur aberrante extrême 

L'histogramme représente la distribution des prix éclairs dans notre ensemble de données et exclut l'enchère unique avec un prix éclair de 120,000 XNUMX $. Il ressort immédiatement que le vaste la majorité des annonces sont disponibles à un coût relativement faible, avec environ un tiers de toutes les enchères ayant un prix éclair inférieur à 1,000 XNUMX $. 

Cependant, un problème notable existe loin à droite, un acteur menaçant prétendant vendre un accès unique à un environnement informatique de très grande valeur (accès backend à une grande maison de vente aux enchères), à bien des égards, cela peut être considéré comme une chasse à la baleine.  

Bien que la grande majorité de l'accès soit de valeur faible à moyenne, un accès extrêmement unique ou de grande valeur est parfois mis aux enchères, ce qui peut entraîner une variation de prix extrême par rapport à notre moyenne. Cela a également été mis en évidence l'année dernière lorsque des acteurs de la menace ont tenté de vendre 84 Go de données sur les entrepreneurs de défense européens et les systèmes de missiles sur Exploit pour 100,000 XNUMX USD de bitcoins. 

Les annonces les plus chères avaient souvent accès à des environnements uniques ou à des fichiers particulièrement sensibles. Cependant, la grande majorité des accès se présentaient sous la forme d'accès RDP ou VPN aux petites entreprises et étaient à un prix assez bas. 

La géographie compte… beaucoup

Carte montrant le nombre de messages IAB vendant l'accès aux entreprises dans le monde, notez que cette carte exclut les cas où les IAB ont répertorié le continent plutôt que le pays 

Une pluralité importante de publications de l'IAB étaient axées sur les entreprises américaines, l'Australie, deuxième pays le plus ciblé, ne représentant qu'un peu plus de 1/7e du volume des attaques contre les entreprises américaines. Ce résultat était attendu pour plusieurs raisons :

  • Les États-Unis possèdent certaines des entreprises les plus précieuses au monde, en plus du PIB le plus élevé au monde, ce qui en fait une cible lucrative pour les acteurs de la menace.
  • Le malware Infostealer est probablement un vecteur principal que les courtiers d'accès initiaux utilisent pour établir l'accès, dans de nombreux cas, les variantes d'infostealer sont configurées pour se désactiver automatiquement lorsqu'elles sont exécutées sur des hôtes dans un pays appartenant à la coalition des États indépendants (CEI), limitant quelque peu les pays potentiels pour le ciblage . 
  • Exploit étant un forum russe, peut dissuader les acteurs de la menace de publier des cibles neutres ou alliées à la Russie tout en les incitant à cibler des pays hostiles à la Russie.

Pourcentage de messages IAB vendant l'accès à des entreprises basées dans les pays respectifs

Ensuite, nous avons voulu explorer comment le "blitz" ou le prix d'achat immédiat des annonces change selon les pays. Notre hypothèse était que les prix éclairs pour l'accès aux entreprises américaines seraient considérablement plus élevés que ceux des entreprises non américaines en raison des différences économiques, des évaluations des entreprises et des paiements potentiels pour les ransomwares et autres cybercrimes. 

La présence de valeurs aberrantes peut fausser considérablement la moyenne, nous les avons donc supprimées à l'aide de la méthode de l'intervalle interquartile (IQR). L'IQR est la plage entre le premier quartile (25e centile) et le troisième quartile (75e centile) des données. Nous avons considéré que tout point de données qui tombe en dessous du premier quartile moins 1.5 fois l'IQR ou au-dessus du troisième quartile plus 1.5 fois l'IQR est considéré comme une valeur aberrante.

Nos résultats ont montré que le prix moyen, sans tenir compte des valeurs aberrantes, change très peu entre les organisations aux États-Unis et dans le reste du monde. Nous étions curieux de tester cette hypothèse par rapport à des données avec des valeurs aberrantes, pour ce faire, nous avons incorporé des valeurs aberrantes tout en supprimant une seule valeur aberrante extrême. 

Cela a considérablement modifié nos résultats, le prix moyen du blitz pour les entreprises américaines augmentant considérablement à 3,186 3,011.11 $, tandis que le reste du monde a augmenté à XNUMX XNUMX $. Ces changements représentent le fait qu'il y avait plusieurs prix éclairs élevés pour les entreprises américaines et internationales. 

Principaux plats à emporter: 

  • Les entreprises américaines sont fortement ciblées par les courtiers d'accès initial, 36 % des victimes annoncées comme étant situées aux États-Unis. 
  • L'Australie et le Royaume-Uni étaient les deuxième et troisième pays les plus ciblés, représentant 12.5 % de notre ensemble de données. 
  • Une fois les valeurs aberrantes éliminées, l’accès aux sociétés américaines ne s’est pas vendu à un prix nettement supérieur ou inférieur à la moyenne mondiale, invalidant ainsi l’hypothèse selon laquelle les sociétés américaines obtiendraient un prix plus élevé que leurs homologues mondiaux. 
  • Le prix moyen du blitz pour notre ensemble de données après exclusion des valeurs aberrantes était de 1,328 3,000 $, tandis que les valeurs aberrantes incluses étaient supérieures à XNUMX XNUMX $, ce qui indique que l'accès à une entreprise particulièrement précieuse est parfois vendu pour plusieurs écarts-types par rapport au prix moyen, ce qui fausse les résultats.

Combien d'acteurs menaçants étaient actifs au cours de la période ?

Ensuite, nous avons examiné combien d'acteurs malveillants vendaient activement l'accès aux réseaux d'entreprise sur Exploit au cours de cette période. Nous avons compté 31 noms d'utilisateur uniques vendant l'accès aux environnements informatiques d'entreprise ; cependant, les sept principaux acteurs étaient responsables de la majorité (55.6 %) des inscriptions. 

Cela pourrait indiquer qu'un petit nombre d'acteurs malveillants ont développé des tactiques, des techniques et des procédures qui leur permettent d'accéder à un grand nombre d'environnements informatiques par rapport à l'acteur moyen. 

Pour cette analyse, nous avons de nouveau utilisé la méthode IQR pour éliminer les valeurs aberrantes et avons commencé par comparer les acteurs de la menace en fonction de leur prix moyen de blitz. Nous avons également exclu les acteurs qui avaient un faible échantillon d'événements. Nous avons découvert une fourchette substantielle des prix moyens des blitz par acteur, suggérant des différences de ciblage, de niveau d'accès obtenu et de stratégie de tarification. 

Le prix moyen du blitz sans les valeurs aberrantes variait considérablement entre les acteurs de la menace, avec une fourchette de 558 $ à 1,400 XNUMX $. Étant donné que les écarts de prix du blitz d'entreprise rendent extrêmement improbable que cette fourchette soit déterminée par le ciblage par pays, nous suggérons les facteurs explicatifs suivants. 

  • Certains courtiers d'accès peuvent se concentrer sur des industries ou des secteurs verticaux spécifiques qui génèrent un prix moyen de blitz inférieur ou supérieur. Ce domaine représente une excellente opportunité pour de futures recherches. 
  • Certains IAB peuvent ne pas avoir la réputation de vendre un accès à prix éclair élevé, ce qui entraîne des ventes plus faibles pour bâtir leur réputation. Corréler le nombre d'enchères qu'un acteur a tenues avec le prix du blitz obtenu est un domaine intéressant pour une étude future.
  • Le type d'accès vendu a également influencé de manière significative le prix qui sera exploré plus loin dans ce document, certains IAB peuvent se concentrer sur des types particuliers d'accès aux environnements, entraînant des prix de vente inférieurs ou supérieurs.

Courtiers d'accès initial et industrie

Prix ​​moyen du Blitz par industrie

Le prix moyen du blitz basé sur l'industrie est un autre point de données intéressant qui peut aider à faire la lumière sur le fonctionnement des IAB. Le ciblage de l'industrie joue un rôle essentiel dans la détermination de la valeur des offres d'accès initiales. Pour ce faire, nous avons classé les organisations en 18 industries comme illustré. Fait intéressant, contrairement à l'emplacement géographique, l'industrie de la victime a joué un rôle très important dans la tarification du poste. 

Nous avons d'abord examiné le prix moyen du blitz par industrie (à l'exclusion des valeurs aberrantes) où nous avons constaté une variation importante. Nous avons exclu les publications dont l'industrie est inconnue et les industries avec moins de quatre exemples. L'accès à la fabrication s'est vendu au prix le plus élevé, légèrement supérieur à 2,000 750 $, tandis que l'accès aux organisations de vente au détail a été vendu au prix le plus bas, légèrement inférieur à XNUMX $. 

Pour explorer davantage la relation entre l'industrie et le prix d'accès, nous utilisons un diagramme de Gantt pour visualiser la distribution des prix IAB par industrie. Le regroupement relatif de certaines industries telles que les médias, l'immobilier, la vente au détail et les services aux entreprises était frappant par rapport à celui de la fabrication, de la finance et de la défense, bien que cela puisse être dû à la taille limitée de l'échantillon et mérite une étude plus approfondie. 

Répartition des prix IAB par secteur

Prix ​​éclair de tous les messages de l'IAB (à l'exclusion de l'industrie inconnue)

Principaux plats à emporter:

  • L'industrie a un impact profond sur les prix dans nos données d'échantillon, certaines industries se vendant à des prix moyens beaucoup plus élevés que d'autres. 
  • La fabrication, la finance et l'accès aux médias se vendent le plus, tandis que la construction, les services aux entreprises et la vente au détail se vendent le moins. 
  • Le regroupement des prix autour de 1,000 10,000 $ et XNUMX XNUMX $ suggère qu'il existe des facteurs importants qui peuvent augmenter considérablement le prix d'accès à une organisation. 

Infrastructure critique américaine, IAB et types d'accès

Nous voulions également examiner la prévalence des CIA vendre l'accès à l'infrastructure critique américaine. L'accès initial vendu aux entrepreneurs de la défense, aux institutions financières, aux entités de soins de santé et aux fournisseurs de produits alimentaires des États-Unis peut présenter un risque important pour la sécurité nationale des États-Unis. Notre analyse a détecté cinq cas d'accès à l'infrastructure critique américaine telle que définie par CISA vendue sur Exploit aux dates étudiées. 

Messages de l'IAB par secteur (entreprises américaines)

Fait intéressant pour les données spécifiques aux États-Unis, la construction et les services aux entreprises ont été les industries les plus touchées. 

Le dernier point de données que nous avons analysé était le type d'accès vendu par les acteurs de la menace. De nombreux messages ont exclu ces informations ou ont utilisé différentes conventions de dénomination pour expliquer le type et le niveau d'accès, ce qui rend la normalisation de notre ensemble de données difficile dans certains cas. Dans certains cas, les acteurs répertorieraient le vecteur (comme un RDP compromis) mais pas le niveau d'accès, dans d'autres cas, ils combineraient le niveau d'accès et le vecteur, ou répertorieraient simplement le niveau d'accès obtenu.

Le vecteur de loin le plus courant était l'accès RDP, avec 32 publications sur 72 affirmant que le type d'accès disponible était via RDP. Le deuxième vecteur le plus courant était l'accès VPN qui se produisait 11 fois. Ensemble, ces types d'accès représentaient 60 % des inscriptions dans notre ensemble de données. 

Les types d'accès les plus courants obtenus étaient l'accès administrateur aux environnements cloud (14 instances), les privilèges d'administrateur local (cinq instances) et « l'utilisateur dans le domaine » (deux instances). Dans de nombreux cas, un accès non standard a été obtenu, par exemple à des applications SaaS spécifiques à l'entreprise, à des catégories spécifiques de données et à d'autres applications informatiques. Dans quelques exemples, nous avons noté que les acteurs de la menace ont spécifiquement indiqué qu'ils vendaient l'accès aux systèmes de sauvegarde et de récupération en plus de l'accès informatique de l'entreprise, indiquant que l'accès était probablement destiné à être utilisé pour des opérations de ransomware. 

Principaux plats à emporter:

  • L'accès à l'infrastructure critique américaine est régulièrement vendu sur Exploit mais n'est pas surreprésenté par rapport à d'autres industries.
  • Les IAB vendent des accès qui affectent les organisations de divers secteurs, notamment la finance, la fabrication, la défense et la santé.
  • L'accès au RDP et au VPN représentait le vecteur dans 60 % de tous les messages de courtier d'accès initiaux.
  • Le niveau d'accès le plus courant était l'accès administratif aux environnements cloud, suivi des privilèges d'administrateur local et de l'"utilisateur dans le domaine". Souvent, le niveau d'accès était omis ou contenait une valeur unique. 

IAB et forums de piratage russes - Un appel urgent à l'action

Les courtiers d'accès initial représentent une menace réelle et actuelle pour les entreprises du monde entier. Les acteurs de la menace opérant sur le forum Exploit vendent aux enchères l'accès à une nouvelle entreprise presque quotidiennement, et Exploit ne représente qu'un des multiples forums avec une activité initiale de courtier d'accès. Nous reconnaissons que de nombreuses recommandations sont uniformes dans les rapports de sécurité, telles que l'établissement de contrôles MFA, la formation des utilisateurs et l'exécution d'autres pratiques de sécurité de base. En plus de ceux-ci, nous recommandons fortement aux organisations :

  • Surveiller les forums IAB : Comme indiqué, les publications de l'IAB sont presque entièrement anonymisées pour éviter d'avertir les victimes, mais la combinaison de la géographie, des revenus, de l'industrie et du type d'accès peut être suffisante pour informer à l'avance certaines organisations qu'elles ont potentiellement été compromises. Nous vous recommandons de surveiller Exploit, XSS et d'autres forums IAB pour être averti à l'avance que l'accès à votre environnement peut être à vendre.
  • Mettez en place la surveillance des journaux Stealer : Nous nous attendons à ce que les journaux de vol représentent une source importante de vecteurs pour les IAB. Il est fort probable que les acteurs de la menace trient un nombre énorme de journaux pour trouver ceux avec RDP, VPN et d'autres formes d'accès d'entreprise qui peuvent être établis, étendus et revendus. Nous vous recommandons de surveiller les chaînes Telegram publiques et privées, le marché russe et le marché Genesis. 
  • Automatisez la détection des secrets publics GitHub : Nous n'avons pas fermement établi de lien entre les fuites de secrets publics GitHub et les publications des courtiers d'accès, mais les développeurs copient et collent du code dans des référentiels publics contenant des informations d'identification représentent un vecteur potentiel d'accès pour les IAB. 

À propos de Flare

Flare est la solution proactive de gestion externe de l'exposition aux cybermenaces pour les organisations. Notre technologie basée sur l'IA analyse en permanence le monde en ligne, y compris le Web clair et sombre, pour découvrir des événements inconnus, hiérarchiser automatiquement les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité. 

Vous voulez savoir comment Flare peut prendre en charge la surveillance des activités de l'IAB ?
Flare.io • [email protected]

Partager cet article

Commencez votre essai gratuit aujourd'hui

Afficher les messages

Éric Clay

Directeur Marketing

Description de l'auteur : Eric Clay possède une solide expérience en cybersécurité et une expérience significative dans la création d'approches marketing pour les entreprises SaaS. Clay a commencé sa carrière dans une agence de marketing B2B en tant que consultant externe pour les processus de génération de leads entrants dans le domaine de la cybersécurité et du SaaS, puis est devenu CMO dans deux startups de cybersécurité. En tant que directeur marketing de Flare, Clay travaille avec notre équipe marketing pour définir et améliorer les stratégies et approches marketing.

Contenu similaire

Rapport de recherche
20.11.2023

L'écosystème de la cybercriminalité et les soins de santé aux États-Unis en 2023

Plus
Témoignage de réussite
05.10.2023

Comment la surveillance du Dark Web de Flare a protégé la réputation d'une chaîne d'épicerie

Plus
Rapport de recherche
26.09.2023

Rapport - Ransomware d'extorsion de données et chaîne d'approvisionnement de la cybercriminalité : principales tendances en 2023

Plus
Démo Essai gratuit

Bureau : 1-833.683.3527

Ventes : 1-833.486.3527

Contactez-Nous

Droits d'auteur 2023 Flare Systems, Inc.

Politique de confidentialité Plan du site Conditions d'utilisation

QG Flare

1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

société de cybersécurité soc 2