Lorsque l'équipe de recherche d'ESET a acheté quelques routeurs d'occasion pour mettre en place un environnement de test, les membres de l'équipe ont été choqués de constater que, dans de nombreux cas, les configurations précédemment utilisées n'avaient pas été effacées... et pire encore, les données sur les appareils pouvaient être utilisées pour identifier les anciens propriétaires ainsi que les détails de leurs configurations réseau.
Cela a amené les chercheurs à effectuer un test plus approfondi, en achetant davantage d'appareils d'occasion et en adoptant une méthodologie simple pour voir si des données existaient encore sur les appareils. Au total, 18 routeurs ont été achetés, l'un était inutilisable à l'arrivée, deux étaient une paire en miroir et ils les ont donc comptés comme une seule unité ; après ces ajustements, nous avons découvert des détails de configuration et des données sur plus de 56 % des appareils.
Entre de mauvaises mains, les données glanées sur ces appareils - y compris les données des clients, les clés d'authentification de routeur à routeur, les listes d'applications et bien d'autres choses encore - suffisent à lancer une cyberattaque. Un cybercriminel aurait pu obtenir l'accès initial nécessaire pour commencer à rechercher où se trouvent les actifs numériques de l'entreprise et ce qui pourrait avoir de la valeur. « Nous savons tous ce qui se passe ensuite dans ce scénario. »
L'évolution, ces dernières années, des méthodes utilisées par les acteurs malveillants pour mener des cyberattaques contre les entreprises à des fins de monétisation est bien documentée. Le passage à un style d'attaque basé sur des menaces persistantes plus avancées a permis aux cybercriminels d'établir un point d'entrée et un point d'appui dans les réseaux. Ils consacrent ensuite du temps et des ressources à la collecte sophistiquée de données, à l'exploration de méthodes permettant de contourner les mesures de sécurité et, enfin, à la mise à mal d'une entreprise en lui infligeant une attaque par rançongiciel ou toute autre forme de cybermalveillance.
L'incursion initiale non autorisée dans le réseau d'une entreprise a une valeur : selon une étude de KELA Cybercrime Prevention, le prix moyen actuel des identifiants d'accès aux réseaux d'entreprise est d'environ 2 800 dollars. Cela signifie qu'un routeur d'occasion acheté pour quelques centaines de dollars, qui permet d'accéder au réseau sans trop d'efforts, pourrait offrir à un cybercriminel un retour sur investissement significatif. À supposer qu'il se contente de rechercher les données d'accès et de les vendre sur le marché noir, au lieu de lancer lui-même une cyberattaque.
Activité des acteurs du secteur des ransomwares et des fuites de données entre le 1er et le 3e trimestre 2022
Au troisième trimestre 2022, KELA a identifié environ 600 victimes dans ses sources, qui comprennent les blogs et les portails de négociation des acteurs de la menace, les sites de fuites de données et les rapports publics. Par rapport au trimestre précédent, l'activité a diminué de 8 %, chutant de juillet à août, mais augmentant d'août à septembre, alors que la tendance du deuxième trimestre montrait une diminution du nombre de victimes d'un mois à l'autre. En moyenne, KELA a observé 200 attaques chaque mois du troisième trimestre, contre 216 victimes au deuxième trimestre.
Un élément préoccupant de la recherche « a été le manque d'engagement des entreprises lorsque nous avons tenté de les alerter sur les problèmes de l'accessibilité de leurs données dans le domaine public. Certaines se sont montrées réceptives, d'autres ont confirmé que les appareils avaient été confiés à des entreprises en vue d'une destruction ou d'un effacement sécurisés - un processus qui n'avait manifestement pas eu lieu - et d'autres encore ont tout simplement ignoré les tentatives de contact répétées », déclare ESET.
ESET met en garde contre les dangers de la revente des routeurs d’entreprise sans les effacer correctement. Il rapporte les résultats de l’étude menée par ESET qui a montré que plus de la moitié des routeurs d’occasion achetés contenaient des données sensibles sur les anciens propriétaires et leurs réseaux. Il souligne que ces données pourraient être utilisées par des acteurs malveillants pour lancer des cyberattaques et compromettre la sécurité des entreprises. Il appelle à une prise de conscience et à une meilleure gestion des équipements de réseau hors d’usage.
Source : ESET
Et vous ?
Les conclusions de l'ESET au sujet des routeurs d'occasion sont-elles pertinentes ?
Qu'en pensez-vous ?
Voir aussi :
Les attaques d'applications et d'API dans le secteur du commerce de la région EMEA sont en hausse de 189 %, selon un rapport d'Akamai
Pour 92 % des entreprises, la sécurité des identités est essentielle pour un déploiement robuste du Zero Trust, selon une étude de CyberArk
Une approche réactive de la cybersécurité est problématique pour les organisations, 90 % de personnes sont confrontées à des difficultés quand elles réagissent au fur et à mesure à ces problèmes