Cybercriminalité-as-a-Service : quand la cybercriminalité devient accessible au grand public

2021 a été marquée par la professionnalisation du cybercrime.

Selon la rétrospective 2021 menée par l’Agence National de la Sécurité du Système d’Information (ANSSI), on compterait environ 1 100 intrusions avérées dans les systèmes d’information (SI) d’entreprises et organisations. Cela représente une augmentation d’approximativement 37 % comparée à 2020.

Afin d’éviter la reproduction de ce schéma en 2022, il est primordial de sensibiliser les acteurs de la cybersécurité aux nouvelles tendances malveillantes.

Quand le cybercrime devient un service

Le monde de la cybercriminalité est de plus en plus exigeant. Les acteurs sont de plus en plus nombreux et les types de logiciels malveillants de plus en plus variés. Mais le numéro 1 en la matière reste le rançongiciel !

Le rançongiciel représente une famille de logiciels malveillants capables de corrompre un système et de priver la victime de ses données. Les attaquants demandent ainsi une rançon, en échange des données prélevées ou chiffrées. Cependant, jusqu’à présent, l’utilisation d’un tel logiciel était réservée aux experts. Ces derniers ont alors profité de leurs connaissances pour obtenir une nouvelle source de revenus en proposant leurs outils à des utilisateurs moins expérimentés. C’est ainsi qu’est apparue la notion de Ransomware-as-a-Service (RaaS).

Le RaaS permet à des utilisateurs de louer un rançongiciel en échange d’un tarif fixe ou d’un pourcentage sur les gains engendrés par le rançongiciel lors de l’attaque. Face à l’explosion de ce phénomène sur le darknet, les développeurs de rançongiciel ont été contraints de proposer des services de plus en plus qualitatifs. Ces services pourraient d’ailleurs s'apparenter à des offres proposées par une entreprise classique : formations, accompagnements, retours d’expériences…

Cette pratique pousse les groupes de pirates informatiques à l’innovation.

Les acteurs malveillants s’associent

Maintenant que tout le monde peut se procurer un rançongiciel, il faut permettre à tout le monde de disposer d’un accès administrateur sur une ou plusieurs machines de la société ciblée par l’attaque.

Pour cela, les fournisseurs de rançongiciel s’associent aux Initial Access Brokers (IAB). Les IAB sont des acteurs malveillants qui donnent accès à des machines dans les entreprises ciblées en échange d'une rémunération. Leur objectif n'est pas de demander une rançon à la société attaquée, mais plutôt de vendre l'accès initial à une tierce personne.

Les IAB effectuent le travail de recherche qui précède l’utilisation du rançongiciel. Ils essayent d’obtenir un accès au système d’information en exploitant les vulnérabilités non corrigées : connexion VPN (Virtual Private Network) vulnérable, serveurs RDP (Remote Desktop Protocol) publiés en direct sur Internet et non mis à jour, serveurs web non à jour.

Une fois cet accès obtenu, les hackers le mettent en vente sur le darknet. Ces accès sont trouvables à différents prix - qui varient principalement selon le type d’accès, le niveau de privilège obtenu, mais également en fonction de l’entreprise victime et de son chiffre d’affaires. Plus l’entreprise à un potentiel de gain élevé pour l’attaquant, plus le prix de l’accès sera élevé.

L’association de ces deux services montre l’orientation « professionnelle » que le cybercrime souhaite prendre. Le marché est plus que jamais compétitif, et les ressources sont industrialisées pour être utilisables par un grand nombre d’acteurs. Aujourd’hui, toute personne malintentionnée peut se procurer un logiciel malveillant type rançongiciel - puis obtenir des accès aux systèmes d’une entreprise. Le tout, en passant simplement par les forums de cybercriminels disponibles sur le darknet.

La sensibilisation est un premier pas vers la sécurité

Le secteur de la cybercriminalité, jusque-là restreint aux utilisateurs avancés, s’ouvre dorénavant aux amateurs. Les groupes malveillants sont nombreux à proposer leur service de RaaS ou d’IAB. Pour parer à cette menace grandissante, il est important que les entreprises et organisations poursuivent leurs efforts dans l’augmentation de leur niveau de sécurité - et celui de l’espace cyber.

La sécurité d’un point de vue technique est très importante pour protéger toutes les briques de son réseau. Une stratégie de défense doit être pensée et déployée selon les particularités de chaque institution. Toutefois, la sensibilisation est tout aussi importante. Garder en tête que les services présentés dans cet article sont facilement accessibles - et à la portée de tous - est déjà un premier pas vers la protection des données de son entreprise. Se tenir informé et informer ses collaborateurs et collègues des nouvelles tendances en termes de cybersécurité, mais aussi en termes de cybercrime, permet de développer une société avertie.

Et d’ailleurs, les entreprises du secteur de la cybersécurité l’ont bien compris avec l’émergence des équipes de veille ou encore les CERT (Computer Emergency Response Team).