Profil de Menace : Courtiers d'Accès Initial (IAB)

Danger

Résumé exécutif : les courtiers d’accès initial (Initial Access Brokers - IAB) sont des syndicats cybercriminels spécialisés se concentrant exclusivement sur l’intrusion des réseaux d’entreprise. Contrairement aux opérateurs de ransomwares, les IAB ne déploient pas de chiffreurs et ne négocient pas de rançons. Leur seul objectif est d’établir un point d’ancrage persistant et vérifié, puis de vendre cet accès au plus offrant sur les forums du dark web. En externalisant la phase complexe et risquée de l’intrusion, les IAB agissent comme les principaux facilitateurs et les “serruriers” de l’écosystème moderne du Ransomware-as-a-Service (RaaS).

1. La chaîne d’approvisionnement cybercriminelle

L’émergence des IAB représente l’industrialisation ultime de la cybercriminalité. Les acteurs de la menace n’ont plus besoin d’être des opérateurs “full-stack”.

• Le rôle : l’IAB force la porte, vérifie que la clé fonctionne, estime la valeur de la cible et vend la clé.
• La valeur ajoutée : ils transforment des données brutes (ex: une liste non traitée de cookies volés ou une IP vulnérable à un zero-day) en un accès qualifié. Les annonces des IAB sur les forums clandestins détaillent généralement le secteur d’activité de la victime, la région géographique, le chiffre d’affaires annuel, le type d’accès fourni (ex: VPN, RDP, Admin du domaine) et le nombre d’hôtes accessibles.
• L’économie : les prix d’accès varient de quelques centaines de dollars pour un accès RDP standard sur une PME, à des dizaines de milliers de dollars pour des identifiants d’Administrateur d’Entreprise dans un grand groupe. Les acheteurs sont généralement des affiliés RaaS de haut niveau, tels que ceux déployant les charges utiles Akira ou Qilin.

2. Vecteurs d’attaque et TTPs

Les IAB sont hautement opportunistes. Ils scannent Internet à grande échelle et s’appuient sur l’automatisation pour sécuriser leurs points d’ancrage.

Exploitation d'équipements de bordure

lorsqu’une vulnérabilité critique (N-day ou Zero-day) est divulguée pour des équipements périmétriques comme Ivanti Connect Secure ou les passerelles Fortinet, les IAB sont les premiers à les exploiter massivement. Ils déposent des webshells pour sécuriser l’accès avant que l’équipe informatique de la victime ne puisse appliquer le correctif.

Écosystème Infostealer

les IAB achètent activement des journaux provenant de botnets Infostealers (ex: Lumma, RedLine). Ils analysent ces journaux pour trouver des cookies de session valides et des identifiants accordant l’accès aux VPN d’entreprise, aux terminaux RDP ou aux environnements Microsoft 365.

Password Spraying et Force Brute

ciblage de services externes exposés (RDP, SSH, OWA) avec des campagnes automatisées de Password Spraying, à la recherche de comptes ayant des mots de passe faibles et dépourvus d’authentification multifacteur (MFA).

3. La fenêtre dorée du DFIR (“Left of Boom”)

Détecter un IAB est le scénario idéal pour un défenseur. Cela signifie que le périmètre a été franchi, mais l’événement catastrophique (le déploiement du ransomware) ne s’est pas encore produit.

Il existe un délai opérationnel — allant de quelques heures à plusieurs semaines — entre le moment où l’IAB sécurise le réseau et le moment où un affilié RaaS achète l’accès et dépose le chiffreur. C’est la Fenêtre dorée (Golden Window) permettant aux équipes de réponse à incident d’éjecter l’intrus.

Chasse aux signaux faibles

Les IAB veulent s’assurer que leur accès est valide et déterminer la valeur de la cible sans faire trop de bruit.

• La connexion de vérification (“Check-in”) : un Événement 4624 (Type 10 - RDP) réussi ou une connexion VPN depuis une IP inconnue, suivie d’une session très brève (souvent moins de 5 minutes). L’IAB vérifie simplement si la clé fonctionne toujours.
• Reconnaissance légère : l’exécution de commandes LOLBAS natives telles que whoami /all, quser ou netdom query fsmo. L’IAB les utilise pour rédiger la description de son annonce sur le dark web (ex: “Niveau d’accès : Domain Admin”).
• Création de compte backdoor : l’ajout furtif d’un compte utilisateur générique (ex: backup_admin) au groupe local Administrateurs pour assurer la persistance de l’accès au cas où le compte compromis d’origine serait désactivé.

4. Détection et Threat Hunting

Pour attraper les IAB durant la fenêtre dorée, les analystes SOC doivent corréler les journaux d’accès distant avec des comportements immédiats de reconnaissance ou de persistance.

KQL (Reconnaissance RDP IAB)

hunt_iab_rdp_recon.kql

// Détecte une connexion interactive à distance (RDP) suivie immédiatement
// de commandes de reconnaissance IAB standards dans une fenêtre de 5 minutes.
let RemoteLogons = SecurityEvent
| where EventID == 4624 and LogonType == 10
| project LogonTime = TimeGenerated, Computer, TargetUserName, IpAddress, TargetLogonId;

DeviceProcessEvents
| where FileName in~ ("whoami.exe", "quser.exe", "net.exe", "systeminfo.exe", "ipconfig.exe")
| join kind=inner (RemoteLogons) on $left.DeviceName == $right.Computer and $left.InitiatingProcessAccountName == $right.TargetUserName
// S'assurer que la commande de reco a eu lieu peu après la connexion RDP
| where TimeGenerated between (LogonTime .. (LogonTime + 5m))
| project TimeGenerated, LogonTime, DeviceName, TargetUserName, IpAddress, FileName, ProcessCommandLine
| sort by TimeGenerated desc

Sigma (Création de compte Backdoor)

sigma_iab_persistence_account.yaml

title: Création Suspecte de Compte Administrateur Local
id: 1a2b3c4d-5e6f-7a8b-9c0d-1e2f3a4b5c6d
status: stable
description: Détecte la création d'un nouveau compte utilisateur (Événement 4720) et son ajout immédiat au groupe local Administrateurs (Événement 4732), une tactique de persistance classique d'IAB.
logsource:
    product: windows
    service: security
detection:
    selection_create:
        EventID: 4720
    selection_group:
        EventID: 4732
        TargetUserName: 'Administrators'
    # Dans un SIEM, corréler ces deux événements se produisant en quelques minutes par le même SubjectUserName
    condition: selection_create or selection_group
level: high
tags:
    - attack.persistence
    - attack.t1136.001

5. CTI et surveillance du Dark Web

La défense proactive repose sur la Cyber Threat Intelligence (CTI). Les organisations doivent surveiller les places de marché du dark web (ex: Exploit.in, XSS.is) et les canaux des courtiers d’accès initial.

Si un IAB publie une annonce correspondant au profil de votre organisation — par exemple : “Accès à vendre : Entreprise manufacturière française, CA 500M$, Accès VPN (Ivanti)” — cela doit déclencher un audit immédiat et de haute priorité de vos journaux d’équipements de bordure et de vos sessions actives, avant même qu’une alerte interne ne se déclenche.

---

Sources et références

• CIS Center for Internet Security : Initial Access Brokers: How They’re Changing Cybercrime
• Flare : Initial Access Brokers Glossary
• Arctic Wolf : What are Initial Access Brokers?
• Playbook lié : Investigation de Ransomware
• Artefact lié : Exécution et reconnaissance LOLBAS
• Artefact lié : Événement 7045/4698 (Persistance et création de compte)