Quand l'économie criminelle capitalise sur le Crime-as-a-Service

Des outils de cyberattaque sont vendus quotidiennement sur le Dark Web. Voici quelques-uns de ces services courants qui peuvent être facilement obtenus pour quelques dizaines à quelques centaines d'euros. Les entreprises doivent en avoir conscience.

Depuis la nuit des temps, les citoyens, les entreprises et les gouvernements ont profité des avancées technologiques pour se développer et prospérer. Et depuis toujours, les criminels en ont fait autant. Ces dernières années, les projets de transformation numérique ont offert de nouvelles opportunités aux criminels qui cherchent à croître et à prospérer dans l'activité illégale de leur choix. Ces criminels peuvent souvent exploiter les capacités de pointe avec plus de facilité et de rapidité que les entreprises légitimes, car ils n'opèrent pas dans les mêmes limites et contraintes. Ils ne sont ni réglementés ni gouvernés, mais sont souvent bien financés et coordonnés car, même si leurs méthodes sont modernes, ils n'opèrent pas dans une économie criminelle nouvelle ou isolée. Les cybercriminels sont pleinement intégrés dans les structures établies du crime organisé.

Alors que les entreprises honnêtes se débattent dans une crise des compétences, on peut se demander comment des groupes criminels établis ont pu devenir aussi performants sur le plan technologique. La réponse courte est qu'ils ne l'ont pas fait. La transformation numérique de notre société a présenté de nouvelles façons de mener des activités criminelles ancestrales (comme le blanchiment d'argent et le vol), et la rareté des compétences requises pour ce faire a donné naissance au Crime-as-a-Service (CaaS). Le CaaS est un modèle dans lequel des cybercriminels expérimentés et qualifiés construisent et développent des outils, des plateformes et des dispositifs sophistiqués, puis les vendent ou les louent à d'autres criminels qui ne disposent pas des connaissances techniques nécessaires pour les créer eux-mêmes.  Le CaaS fournit aux opérateurs qualifiés des fonds provenant de criminels établis et, en retour, les groupes criminels peuvent se perfectionner rapidement et facilement.  Le CaaS est à l'origine du volume et de la sophistication des attaques dans le paysage des menaces actuelles, et la barrière d'entrée dans la cybercriminalité et l'économie illégale s'abaisse.

La plupart d'entre nous ne passent pas beaucoup de temps sur le Dark Web, et il peut sembler incroyable de parler des outils d'une cyberattaque vendus aux criminels de manière quotidienne. Pourtant, c'est exactement ce qui se passe.  Voici quelques-uns des services courants qui peuvent être facilement obtenus en tant que CaaS.

Kits / plateformes de phishing

Le phishing est l'un des principaux vecteurs d'attaque utilisés pour compromettre les entreprises, il n'est donc pas étonnant que ces techniques soient devenues des outils courants. Des kits et des plates-formes de phishing sont facilement disponibles sur le Dark Web pour à peine 2 à 10 dollars afin de faciliter l'attaque d'une entreprise. Ces kits et plateformes sont personnalisables avec peu de connaissances ou de compétences requises et présentent différents niveaux d'automatisation, ce qui les rend très attrayants pour les criminels.

Kits d’exploitation

Ces kits comprennent le développement de codes d'exploitation et d'outils permettant d'exploiter des vulnérabilités connues. L'un des kits les plus populaires, RIG, dont l'utilisation ne coûte que 150 dollars par semaine, permet de diffuser des ransomwares, des chevaux de Troie et d'autres formes de logiciels malveillants. Il dispose d'un vaste réseau de revendeurs dont la structure commerciale complexe le rend accessible et abordable pour les criminels. Heureusement, en raison de l'augmentation des mises à jour automatiques des navigateurs et de la réduction de l'utilisation de Flash, les kits d'exploitation sont devenus moins fréquents depuis 2016.

Services DDoS

Un groupe criminel n'a plus besoin de créer un botnet pour lancer une attaque sur une cible.  Aujourd'hui, ils peuvent louer ces services à la demande. Le temps nécessaire pour lancer une attaque est minime et l'infrastructure peut être mise en place et démantelée rapidement et efficacement, ce qui rend le suivi et la prévention plus difficiles. Les services DDoS sont également bon marché et accessibles, de nombreux fournisseurs proposant des formules d'abonnement sur le Dark Web.

Parmi les exemples, on peut citer une liste de formules dont la moins chère est de 4 euros par mois avec une attaque simultanée à un intervalle de 300 secondes, jusqu'à la formule la plus importante et la plus chère, à 50 euros par mois, avec une attaque simultanée à un intervalle de 10 800 secondes. D'autres fournisseurs s'engagent dans des attaques par déni de service (DDoS) sur des serveurs ou des sites web qui utilisent une protection, en facturant environ 330 euros par jour, certains proposant même des attaques sur des cibles gouvernementales. Tout cela rend les services DDoS particulièrement dangereux en raison de la facilité avec laquelle ils peuvent être réalisés et des profits qu'ils peuvent générer pour les criminels, certaines estimations tablant sur des marges de 95% par attaque. (Makrushin, 2017)

Rançongiciel as a Service

Comme pour les services DDoS, les cybercriminels peuvent utiliser des services de rançongiciels spécialement conçus pour cibler une victime, ce qui leur évite d'avoir besoin de beaucoup de connaissances techniques. Ces services fournissent non seulement la profondeur et les compétences techniques, mais aussi toutes les informations nécessaires pour mener à bien une attaque. Dans certains cas, ils fourniront également un tableau de bord et un rapport sur son état. Ransomware as a Service propose un nombre variable de prix et de modèles de paiement, dont certains sont basés sur un abonnement, un forfait ou une participation aux bénéfices. Les montants peuvent être aussi bas que 33 euros et peuvent aller jusqu'à des milliers d’euros pour les cibles importantes.

Research as a Service

Cela implique la collecte légale ou illégale d'informations sur les victimes ciblées ainsi que la revente de données personnelles volées, telles que des identifiants compromis (Global Trends in Cyber Security, 2019). Elle peut également inclure la vente d'informations sur des abus potentiels au sein de logiciels ou de systèmes.

L'examen de ce catalogue malveillant est une expérience qui ouvre les yeux.  Pour ceux d'entre nous qui passent leurs journées à construire et à sécuriser des réseaux contre les attaques, il est presque insultant de voir le poison de notre vie vendu si bon marché.  Et les mécanismes d'achat sont bien sûr aussi très simples. L'industrie du crime en tant que service dispose d'un système de paiement intraçable parfait grâce aux crypto-monnaies - facile à utiliser, anonyme et non lié aux frontières ou aux restrictions internationales. En 2015, un rapport d'Europol indiquait que le bitcoin était utilisé dans plus de 40% des transactions illicites dans l'Union européenne, un chiffre qui a sans doute augmenté depuis.

Bien que tout cela puisse être d'une interprétation inconfortable, c'est également éclairant et fascinant. Les professionnels de la sécurité et des réseaux doivent s'attacher à comprendre le modèle opérationnel de leurs adversaires. Tout comme les cybercriminels partagent des informations, se coordonnent et font évoluer leurs capacités, en comprenant leurs cibles et en mettant rapidement en œuvre des techniques de pointe, nous devons faire de même.  Si l'attaque est devenue si abordable pour les criminels, nous ne pouvons pas nous permettre de ne pas nous défendre de manière appropriée.

(écrit en collaboration avec David Fairman, CSO APAC chez Netskope)