Une vue d'ensemble de l'évolution du milieu de la cybercriminalité

Pour que la cybersécurité soit efficace, il faut comprendre le fonctionnement de ces organisations cybercriminelles. En se penchant sur leur évolution, leurs tactiques et leur structure, les équipes de sécurité gardent une longueur d'avance dans la protection de leurs organisations. Découvrons les origines et les opérations de ces syndicats cybercriminels des temps modernes.

L'évolution du milieu de la cybercriminalité

Au début, les pirates étaient limités à ce qu'ils pouvaient physiquement faire aux ordinateurs, diffusant souvent des virus par le biais de disquettes. Cette époque a marqué le début de l'aventure de Bitdefender. La société, qui opérait initialement sous un autre nom, a développé une solution antivirus interne pour protéger ses clients et elle-même. L'efficacité de cet antivirus a suscité une forte demande, faisant de Bitdefender l'entreprise de cybersécurité renommée qu'elle est aujourd'hui.

À mesure que le temps passait et que le monde devenait plus connecté, les acteurs de la menace créaient des logiciels malveillants - chevaux de Troie, virus, vers et autres - tandis que les éditeurs d'antivirus continuaient à mettre à jour et à développer leurs solutions pour identifier, détecter et protéger contre ces dernières menaces. Du côté des entreprises, nous avons encore vu des sociétés ciblées simplement pour se vanter ou pour voir si un pirate avait les compétences nécessaires pour compromettre une entreprise.

Au début des années 2000, les cybercriminels ont commencé à se fixer des objectifs plus ambitieux, en enrôlant des dispositifs dans leurs réseaux de zombies et en lançant des attaques plus importantes à l'aide de méthodes plus sophistiquées telles que les attaques APT et DDoS. Dans les années 2010, nous avons assisté à l'émergence de groupes de pirates d'États-nations et de groupes de pirates d'organisations, les ransomwares devenant une menace majeure pour les entreprises.

De nos jours, la cybercriminalité est motivée par le profit et nous avons assisté à une transformation majeure de la dynamique des groupes de pirates informatiques. Ils sont bien organisés, beaucoup plus importants, disposent d'une hiérarchie qui leur permet de travailler efficacement et sont devenus leur propre secteur d'activité. 

Cette évolution est due à quelques avancées majeures, telles que :

• Une surface d'attaque numérique plus large : L'époque du jeu du chat et de la souris entre virus et antivirus est révolue. Les groupes de pirates informatiques disposent aujourd'hui de multiples moyens pour compromettre une entreprise. Ils peuvent s'attaquer aux employés par le biais de l'ingénierie sociale ou du phishing, s'introduire en ciblant un fournisseur tiers plus faible ou s'introduire par le biais d'une fuite d'informations d'identification.
• L'émergence des places de marché du dark web : L'évolution des places de marché du dark web a banalisé les cyberattaques, en donnant un prix littéral aux fuites de données et en encourageant davantage les attaques qui conduisent à des violations de données.
• Les violations de données engendrent d'autres violations de données : Les données divulguées peuvent être achetées ou volées, puis réutilisées pour attaquer d'autres organisations dont la sécurité est laxiste ou dont les employés réutilisent les mots de passe.
• Plates-formes de communication privées : Les cybercriminels profitent de l'anonymat comme jamais auparavant. L'explosion des plateformes de communication cryptées telles que WhatsApp, Signal et Telegram a favorisé une activité plus efficace car le contenu de la communication est crypté, ce qui permet à des groupes de discuter plus facilement d'attaques, de compromissions et de plans.
• Les crypto-monnaies : Grâce aux crypto-monnaies, il est beaucoup plus facile de brouiller les pistes, de se livrer à des attaques par ransomware et de participer au dark web. Les crypto-monnaies et les bourses de crypto-monnaies ont également été utilisées à des fins de blanchiment d'argent.
• Des gains de plus en plus élevés : La cybercriminalité représente aujourd'hui un secteur d'activité de 1,5 trillion de dollars par an, et chaque attaque successive incite davantage les acteurs de la menace à faire des profits. Cela est particulièrement évident dans le cas des rançongiciels (ransomware) : les paiements sont montés en flèche, tout comme le taux de paiement.

Le milieu de la cybercriminalité aujourd'hui

De nos jours, les organisations cybercriminelles ressemblent beaucoup à des organisations légitimes, et cela s'explique en grande partie par le fait que leur champ d'action s'est considérablement élargi. Les groupes cybercriminels les plus importants proposent leurs services à d'autres organisations, à des États-nations et à d'autres adversaires.

Tout comme les entreprises modernes, les organisations cybercriminelles varient considérablement en termes d'échelle.

• Indépendants : Il peut s'agir d'individus isolés ou de petits groupes qui se livrent à des attaques de bas niveau et/ou peu sophistiquées. Comme il est peu probable que les forces de l'ordre recherchent et attrapent ces petits acteurs, ils peuvent facilement s'en tirer avec quelques attaques par an et gagner une somme d'argent substantielle.
• Petites et moyennes entreprises : Il s'agit des groupes les plus courants sur le marché de la cybercriminalité, qui cherchent à vendre leurs services à d'autres acteurs de la menace. Les groupes plus importants sont mieux organisés, mais ils emploient généralement du personnel à temps plein ou à temps partiel pour gérer les tickets d'assistance, les clients et les ordres de service.
• Grandes entreprises : Tout comme les entreprises modernes, les organisations cybercriminelles sont de taille beaucoup plus importante. C'est là qu'interviennent des groupes célèbres comme Conti, REvil, GozNym Gang et MageCart, le premier ayant réalisé un bénéfice net de 54 millions de dollars en 2021. Ces groupes comptent plus de 50 « employés », sont organisés en départements, sont salariés et font même l'objet d'évaluations de performance.

 

Exemple d'une publicité qui promeut l'accès à des organisations compromises.

Les groupes de pirates informatiques gagnent souvent de l'argent grâce à ce qui suit :

• Vente de kits d'exploitation de vulnérabilités connues
• la vente de données volées - soit sous forme d'une masse de données, soit sous forme d'un actif individuel (qui peut être utilisé pour le vol d'identité ou les attaques de spearphishing)
• Vente de logiciels malveillants, de ransomwares ou d'autres contenus malveillants
• Vente d'accès à des organisations compromises
• Vendre l'accès à des données volées
• Vendre leurs services en tant que groupe de pirates informatiques

Ce dernier exemple est l'un des développements les plus récents et constitue le mode de fonctionnement des principaux groupes de ransomware. 

Les places de marché clandestines ont tendance à ressembler à des sites de commerce électronique classiques et à fonctionner de la même manière.

Outre les opérations de ransomware, les cybercriminels clandestins ont diversifié leurs tactiques et leurs services. Voici quelques-uns des éléments clés qui déterminent leurs activités aujourd'hui.

Mules

Les mules sont des personnes qui transfèrent ou déplacent de l'argent acquis illégalement pour le compte d'autres personnes, souvent dans le cadre de plans de blanchiment d'argent plus vastes. Ces personnes, qui peuvent être conscientes ou non de leur implication dans une activité criminelle, sont généralement recrutées par le biais d'offres d'emploi, des médias sociaux ou de relations personnelles. Une fois recrutées, elles reçoivent des fonds volés ou obtenus de manière illicite sur leurs comptes bancaires, retirent l'argent et le transfèrent sur un autre compte, généralement à l'étranger, ou le convertissent en crypto-monnaie. En utilisant des mules, les criminels peuvent brouiller la piste de l'argent, ce qui rend plus difficile pour les services répressifs de retracer l'origine des fonds illicites et d'identifier les principaux auteurs. Cette pratique facilite non seulement diverses formes de criminalité financière, mais expose également les mules elles-mêmes à des risques juridiques importants, notamment à des accusations potentielles de blanchiment d'argent et d'escroquerie.

Services de Spam et de Phishing

Les services de spam et de phishing à louer représentent une menace importante et croissante dans le paysage de la cybercriminalité. Ces services illicites, souvent annoncés sur des forums du dark web et par le biais de réseaux clandestins, offrent aux criminels les outils et l'infrastructure nécessaires pour mener des campagnes de spam de masse et des attaques de phishing sophistiquées. Les clients de ces services peuvent acheter des listes d'adresses électroniques en masse, accéder à des serveurs compromis pour envoyer des spams et utiliser des kits de phishing qui créent des sites web trompeurs imitant des sites légitimes afin de voler des informations sensibles telles que des identifiants de connexion et des données financières. Les opérateurs de ces services utilisent des techniques avancées pour contourner les filtres anti-spam et éviter d'être détectés, ce qui permet la diffusion à grande échelle de contenus malveillants. En externalisant leurs opérations, les cybercriminels peuvent cibler efficacement un grand nombre de victimes potentielles, ce qui entraîne des pertes financières importantes et des violations de données personnelles pour les particuliers et les organisations.

Les visiteurs peuvent accéder à toute une série d'outils et de services assortis d'un système d'évaluation.

Proxies à louer

Les proxys à louer, en particulier ceux utilisés à des fins malveillantes, sont un outil répandu dans l'arsenal des cybercriminels. Ces proxys utilisent souvent des réseaux de machines infectées, notamment des ordinateurs personnels et des appareils de l'Internet des objets (IoT), pour masquer la véritable origine du trafic malveillant. Les cybercriminels s'appuient sur ces appareils compromis pour lancer diverses attaques, telles que des attaques par déni de service distribué (DDoS), des violations de données et des activités frauduleuses, ce qui complique la tâche des systèmes de sécurité qui doivent remonter à la source des actions malveillantes. En faisant passer leurs activités par un réseau de proxys involontaires, les attaquants peuvent échapper à la détection, renforcer leur anonymat et contourner les restrictions géographiques. La prolifération des appareils IoT, dont beaucoup ont des protocoles de sécurité faibles, a considérablement élargi le pool de proxys potentiels, ce qui complique encore les efforts pour lutter contre cette pratique malveillante.

Échangeurs de crypto-monnaies

Les échangeurs de crypto-monnaies qui ne respectent pas les réglementations relatives à la connaissance du client (KYC) jouent un rôle important dans l'économie souterraine, en offrant un refuge aux activités illicites. Ces plateformes non conformes aux règles KYC permettent aux utilisateurs d'acheter, de vendre et d'échanger des monnaies numériques sans vérifier leur identité, ce qui les rend attrayantes pour les criminels qui cherchent à blanchir de l'argent, à échapper à l'impôt ou à financer des opérations illégales. L'anonymat offert par ces échangeurs facilite les transactions impliquant des fonds volés, des paiements par ransomware et le commerce illicite sur les places de marché du dark web. En contournant la surveillance réglementaire, ces plateformes sapent les efforts déployés pour assurer la transparence et la responsabilité du système financier, ce qui pose des risques importants pour l'intégrité et la sécurité financières mondiales.

Services d'hébergement non conformes à la loi KYC

Les services d'hébergement non conformes à la loi KYC sont un élément essentiel de l'infrastructure des opérations cybercriminelles, car ils fournissent une couverture d'anonymat pour les activités illicites en ligne. Ces hébergeurs ne demandent pas à leurs clients de vérifier leur identité, ce qui les rend idéaux pour héberger des sites web illégaux, des serveurs de commande et de contrôle de logiciels malveillants, des sites d'hameçonnage et des places de marché du dark web. L'absence de vérification de l'identité des clients permet aux cybercriminels d'opérer avec un risque minimal de détection, ce qui facilite la distribution de logiciels malveillants, la vente de données volées et l'orchestration de cyberattaques. En proposant des solutions d'hébergement intraçables, ces services sapent les efforts mondiaux en matière de cybersécurité et permettent un large éventail de crimes numériques tout en échappant à l'application de la loi et à la surveillance réglementaire.

Services de dépôt fiduciaire  (Escrow)

Les services d'entiercement sur le darknet jouent un rôle crucial en facilitant la confiance et en garantissant la sécurité des transactions entre les participants aux marchés illégaux en ligne. Ces services agissent comme des intermédiaires, conservant les fonds des acheteurs jusqu'à ce que les biens ou services convenus, souvent des articles illégaux tels que des drogues, des armes ou des données volées, soient livrés et vérifiés. En réduisant le risque de fraude, les services de séquestre encouragent la multiplication des transactions et maintiennent le flux commercial sur ces marchés souterrains. Malgré leur objectif de garantir des transactions équitables, ces services soutiennent et perpétuent intrinsèquement les activités illicites, ce qui rend difficile le suivi et l'intervention des forces de l'ordre dans les transactions financières associées aux échanges sur le dark web. L'anonymat et la sécurité offerts par ces services de dépôt fiduciaire contribuent à la résilience et à la persistance des places de marché du darknet.

Groupes de menaces persistantes avancées (APT)

Les groupes de menaces persistantes avancées (APT) et les entités de piratage parrainées par des États masquent souvent leurs campagnes de cyberespionnage sophistiquées sous la forme d'attaques de ransomware ou d'autres formes de cyberfraude afin de dissimuler leurs véritables intentions et d'éviter d'être détectés. En imitant les tactiques, les techniques et les procédures des cybercriminels ordinaires, ces acteurs avancés peuvent infiltrer les réseaux cibles, exfiltrer des données sensibles et mener des opérations de surveillance tout en faisant croire aux défenseurs qu'ils ont affaire à une cybercriminalité motivée par des considérations financières. Cette approche trompeuse complique non seulement l'attribution, mais permet également à ces groupes de recueillir des renseignements, de perturber des opérations ou de manipuler des données sans éveiller de soupçons immédiats. Le recours à de telles tactiques de dissimulation souligne la complexité et la nature évolutive des cybermenaces, ainsi que la nécessité de mettre en place des mesures de cybersécurité solides et nuancées pour discerner et contrer efficacement ces opérations secrètes.

Exemple d'un kit d'exploitation de plate-forme à vendre.

Progrès récents dans le milieu de la cybercriminalité

Nos recherches nous ont permis de découvrir quelques tendances alarmantes au sein de ces groupes, qui suggèrent une coordination encore plus organisée et une volonté ardente de s'adapter aux nouveaux développements récents et à un paysage en mutation. Voici ce que nous avons découvert :

L'émergence de fermes d'escroquerie : En raison des profits considérables qu'elles peuvent réaliser, ces organisations ont eu recours à l'enlèvement et à la traite de personnes dans des pays comme la Thaïlande, les forçant à travailler dans des usines d'escroquerie et tirant profit de leurs activités.

Le partage des informations pour éviter d'être détecté : De la même manière que la cybersécurité partage ouvertement des informations pour améliorer la sécurité partout, les groupes de cybercriminels diffusent également des informations éducatives et des avis sur les tactiques des forces de l'ordre afin d'éviter que d'autres ne se fassent prendre.

L’utilisation de l'IA pour élever les escrocs de bas niveau : De nombreux groupes de ransomwares vivent et meurent grâce aux ressources de leurs développeurs, et les programmeurs compétents peuvent utiliser l'IA pour améliorer leur efficacité et leur productivité. Les escrocs peu ou moyennement sophistiqués peuvent ainsi atteindre un niveau avancé, ce qui rendra l'ensemble du paysage cybercriminel encore plus menaçant. À tout le moins, cela facilitera la multiplication des tentatives d'escroquerie, inondant encore davantage les organisations d'attaques qui pourraient inévitablement passer à travers les mailles du filet.

Restez vigilant(e) et protégé(e)

Il n'existe pas de solution unique pour protéger les organisations contre ces groupes bien organisés. En revanche, en comprenant comment elles fonctionnent, ce qui les motive et comment elles s'attaquent activement aux organisations, vous pourrez prendre des décisions plus éclairées lors de l'élaboration d'une stratégie globale de cyber-résilience.

N'oubliez pas que, pour la plupart, ces acteurs de la menace cherchent toujours à profiter des fruits les plus faciles à cueillir et des organisations dont les mesures de sécurité sont médiocres. Si vous faites preuve de diligence raisonnable pour sécuriser efficacement vos données, gérer vos actifs et minimiser le risque que représentent vos employés, vous pourrez peut-être éviter d'être pris pour cible.