Nous sommes à un moment où les cybercriminels, y compris les gangs de ransomware, se sont établis comme des entreprises illicites organisées plutôt que comme des opérations de piratage menées par une seule personne. De plus en plus de groupes de ransomware ont vu le jour et les groupes existants continuent de prospérer en réussissant à pénétrer dans des entreprises importantes.

Le succès croissant des gangs de ransomware, des groupes d'extorsion et des attaquants DDoS n'est en rien accidentel. Derrière un nom de groupe fantaisiste se cache une structure organisée comprenant des cybercriminels à différents niveaux, qui travaillent en synchronisation pour atteindre l'objectif final, chacun recevant sa part. L'évolution des cyberattaques faisant appel à de nouvelles tactiques et techniques, que dire des rôles clés assumés par les cybercriminels ? Voici quelques rôles clés assumés par les cybercriminels qui ont évolué au fil du temps.

Les courtiers d'accès initial

Les courtiers d’accès initial (Initial access broker ou IAB) désignent la catégorie de ransomware qui vendent l'accès aux réseaux d'entreprise à un acheteur viable. Ils le font par l'intermédiaire de marchés de violations de données, de forums, de canaux fermés d'applications de messagerie et de groupes de discussion. Cependant, les IAB n'effectuent pas nécessairement des activités dommageables ultérieures telles que l'exfiltration, le chiffrement et la suppression des données. C'est à l'acheteur de décider comment il compte abuser de cet accès - que ce soit pour voler des secrets commerciaux, déployer des ransomware, installer des logiciels espions ou faire fuiter des données.

« Par le passé, les courtiers d’accès initial vendaient principalement des accès d'entreprise à des criminels ayant l'intention de détruire les données d'une entreprise, ou de voler des IP, ou des données financières des entreprises compromises », explique Ben Richardson, ingénieur logiciel senior chez Cloud Radius, un fournisseur d'authentification sans mot de passe pour le cloud. « Ils n'étaient pas si demandés à l'époque, principalement parce que le volume des attaques était faible. Ils étaient normalement engagés par des concurrents commerciaux pour l'espionnage et le vol ». Ben Richardson affirme que l'ère des ransomware a provoqué une « augmentation exponentielle » de la demande d’IAB. Ces courtiers trouvent maintenant de nouveaux débouchés auprès des gangs de ransomware qui engagent des IAB pour compromettre les entreprises cibles afin que le gang puisse commencer à chiffrer les fichiers sensibles et à détruire les sauvegardes.

Le XaaS

Dans le contexte actuel, l'expression « x as a service » se matérialise souvent par des plateformes de ransomware as a service (RaaS) ou de malware as a service (MaaS) qui constituent un modèle commercial relativement récent. À l'instar du modèle SaaS (Software-as-a-Service), RaaS est une méthode qui consiste à fournir des outils de ransomware, des kits de phishing et une infrastructure informatique contre rémunération à des « affiliés » désireux de mener des attaques. « Dans ce modèle, ces fournisseurs peuvent rester juridiquement sûrs, car en tant que fournisseurs, ils ne sont pas responsables de la manière dont leur service est utilisé », explique Logan Gilbert, architecte de solutions globales chez Deep Instinct. En tant que fournisseur de services, ces groupes peuvent gagner une commission, quel que soit le succès des attaques des clients. « Ils sont véritablement un fournisseur de services, et la réalisation de la valeur opérationnelle dépend de leurs clients ».

Par le passé, mener une opération d'attaque à grande échelle justifiait que les cybercriminels soient des hackers qualifiés, mais les modèles XaaS ont assoupli ces barrières à l'entrée. « Au départ, les cybercriminels étaient des hackers qualifiés qui menaient généralement des opérations à grande échelle par eux-mêmes », explique David Kuder, analyste principal des renseignements sur les cybermenaces chez CriticalStart. « Cela demandait beaucoup de ressources et comportait beaucoup de risques. Ces dernières années, les cybercriminels se sont tournés vers la « chasse au gros gibier », ciblant les grandes entreprises et engrangeant d'énormes profits. Cette stratégie commençant à prendre de l'ampleur, de plus en plus de cybercriminels se sont lancés dans l'espace XaaS, notamment les IAB, les ransomware as a service et les malware as a service, pour n'en citer que quelques-uns. L'augmentation du XaaS a permis à un cybercriminel d'être compétent dans un seul domaine, tout en tirant parti des services de tous les autres groupes » ajoute-t-il.

Les affiliés de ransomware

Les affiliés de ransomware peuvent être considérés comme des « entrepreneurs » polyvalents engagés par les groupes de ransomware pour effectuer des tâches opérationnelles : de l'achat de l'accès initial aux réseaux auprès des IAB ou simplement de l'obtention d'informations d'identification volées et de vidages de données qui pourraient aider à la reconnaissance, à l'exécution de l'attaque. Après avoir exécuté une attaque et une extorsion réussies, ces affiliés gagnent une commission sur le montant de la rançon versée par la victime à l'opération de ransomware plus importante.

Pour accélérer leurs attaques, les affiliés peuvent louer des plateformes RaaS pour chiffrer des fichiers avec des « ransomware loués », et utiliser intensivement tous les outils, services et exploits existants à leur discrétion. « Pour une modique somme, les affiliés ont accès à un produit et à un service qu'ils devraient autrement développer et gérer eux-mêmes. En outre, les affiliés ont accès à des OIP et à des entreprises déjà compromises, disponibles à un prix. Cela réduit considérablement la barrière à l'entrée pour un affilié. Ils peuvent désormais se concentrer sur les aspects opérationnels de l'extorsion d'une entreprise », explique Logan Gilbert de Dee Instinct.

Les développeurs de logiciels malveillants et d'exploits

Cette catégorie de cybercriminels crée des exploits pour des vulnérabilités connues ou de type zero-day qui vont au-delà des exercices de validation de concept (PoC). Ces acteurs peuvent également développer des logiciels malveillants qui contiennent des exploits pour plusieurs vulnérabilités, comme nous l'avons vu avec Gitpaste-12 qui contient entre 12 et plus de 30 exploits. De nombreuses attaques de ransomware peuvent également commencer par le déploiement de code par les attaquants pour cibler des appareils d'accès, des applications, des VPN et des composants logiciels individuels, tels que Log4j, intégrés profondément dans les applications.

Auparavant, les développeurs de logiciels malveillants et d'exploits pouvaient être des « script kiddies » ou des pirates sophistiqués, mais au fil du temps, avec l'intensification de la collaboration entre les acteurs de la menace, une grande partie du développement de logiciels malveillants sophistiqués se fait au sein d'équipes de développement, avec des cycles de vie de développement logiciel et une documentation, comme on pourrait s'y attendre de la part d'une entreprise de logiciels légitime, explique Logan Gilbert. Son opinion est étayée par de récentes fuites qui mettent en lumière le fonctionnement interne des groupes de ransomware. L'année dernière, un chercheur ukrainien qui avait infiltré le gang Conti (Ryuk) a divulgué des données exclusives du groupe, notamment des outils de test de pénétration, des manuels rédigés en russe, du matériel de formation et des documents qui seraient fournis aux affiliés du groupe ransomware. De même, un prétendu administrateur du ransomware Babuk a également divulgué les fichiers de projet Visual Studio et le code source du groupe qui, en ce qui concerne leur entreprise, reflètent la structure suivie par les sociétés de logiciels légitimes.

Par ailleurs, l'augmentation de l'utilisation des crypto-monnaies et leur adoption par le grand public ont donné naissance à une classe « niche » de développeurs d'exploits. Les développeurs compétents en cryptographie et ayant une compréhension avancée des protocoles de blockchain peuvent exploiter les failles de type zero day et les vulnérabilités non corrigées de ces crypto-plateformes avant qu'elles ne soient corrigées. Cette pratique est devenue endémique et évidente dans les principaux piratages de crypto-monnaies. En février, l'affaire du vol de 326 M$ de crypto-monnaies de Wormhole a été causée par une vulnérabilité non corrigée qui était visible par tout le monde dans les commits GitHub du projet. L'année dernière, Poly Network a été victime du « plus grand piratage de DeFi », qui s'est soldé par un vol de 611 M$ de cryptomonnaies par un supposé hacker éthique qui voulait faire toute la lumière sur les failles de sécurité de la plateforme. Le piratage de Crypto.com, qui a coûté 34 M$ cette année, est un autre exemple de l'émergence de développeurs d'exploits de niche qui évoluent avec le temps.

Les groupes de menaces persistantes avancées

Le terme « menace persistante avancée » (Advanced Persistent Threat ou APT) décrit traditionnellement des cybercriminels de type État-nation ou des groupes de cybercriminels soutenus par des États ayant un objectif spécifique - sabotage ou espionnage politique sur une période prolongée, voire un simple gain financier. Aujourd'hui, les tactiques utilisées par les APT sont également adoptées par des acteurs non affiliés. Les APT utilisent souvent des logiciels malveillants conçus sur mesure et dotés de capacités de surveillance et de furtivité étendues. L'une des attaques APT les plus connues de tous les temps est l'incident Stuxnet, qui a exploité plusieurs vulnérabilités Windows de type zero-day de l'époque pour infecter des ordinateurs, se propager et causer des dommages réels aux centrifugeuses des centrales nucléaires. Ce « ver informatique extrêmement sophistiqué » aurait été créé par des agences de renseignement américaines et israéliennes travaillant en collaboration.

Un exemple plus récent d'APT ciblant les systèmes de contrôle industriel est le malware TRITON. Découvert en 2017, TRITON a été attrapé après avoir frappé une usine pétrochimique d'Arabie saoudite dans le but éventuel de provoquer une explosion. Heureusement, un bug dans le code du malware a déclenché un arrêt d'urgence des systèmes critiques et a déjoué l'attaque. Les APT ne se limitent pas à l'exploitation d'appareils physiques. La plupart des campagnes APT utilisent des attaques de spear-phishing pour infiltrer le réseau, propager silencieusement la charge utile, exfiltrer des données, installer des portes dérobées persistantes et surveiller secrètement leurs victimes.

« Les groupes APT sont passés d'une vision à court terme de leurs buts et objectifs à une approche plus furtive et stratégique », explique John Fung, directeur des opérations de cybersécurité chez MorganFranklin Consulting. Il souligne les tendances troublantes des APT à compromettre les logiciels en amont et le code source, comme nous l'avons vu avec l'attaque de la chaîne d'approvisionnement de SolarWinds, qui, après de nombreux débats entre les responsables du gouvernement américain, a été attribuée à des pirates soutenus par la Russie. « La tendance à déplacer la compromission plus en amont avec des fournisseurs tiers, puis à corrompre des logiciels « légitimes » avec leurs propres charges utiles, est particulièrement troublante. Je considère qu'il s'agit d'un événement à fort impact et à faible fréquence contre lequel les entreprises doivent se prémunir de différentes manières en fonction de leur profil de risque et de leur tolérance ».

Les courtiers en données ou en informations

Les termes « courtier en données » ou « courtier en informations » désignent à la fois des catégories légitimes de fournisseurs de services et des acteurs illicites. Par exemple, les courtiers en données et les services d'agrégation de données légitimes peuvent se procurer des données auprès de sources publiques telles que les archives judiciaires, les registres fonciers et les registres de vente de propriétés, les profils de médias sociaux, les annuaires téléphoniques, les registres de constitution d'entreprises et les registres de mariage, afin de compiler des informations sur les personnes et les entreprises. Ces informations peuvent ensuite être légalement partagées avec des spécialistes du marketing, des chercheurs et des entreprises contre rémunération. Les courtiers en données malveillants, quant à eux, se livrent à des pratiques illégales, telles que la vente de matériel piraté et de données confidentielles sur le dark web et sur les marchés des violations de données. En fait, David Kuder relie la pratique du courtage de données jusqu'à la chaîne de l'IAB, dans ce qui peut être décrit comme un accord d'affiliation unique.

La professionnalisation de l'IAB a été stimulée par la croissance rapide du modèle RaaS ces dernières années. Ces offres RaaS sont développées par des groupes APT bien établis comme Wizard Spider (RYUK RaaS), Gold Southfield (REvil RaaS) et FIN7 (DarkSide RaaS). « Dans le cadre de cette offre, [ces groupes APT/RaaS] fournissent une assistance, un accès au portail, des abonnements mensuels à leurs clients, et s'engagent souvent dans une affiliation avec les clients. Dans le cadre de ces accords d'affiliation, les groupes RaaS prennent un pourcentage des bénéfices que tout affilié réalise en récupérant une cible. Outre le rançonnage de données sensibles, bon nombre de ces groupes compromettent également les informations des employés/clients des sociétés qu'ils ciblent. Les informations sensibles sont exfiltrées et publiées sur l'un des nombreux sites du dark web. C'est ce qu'on appelle le courtage de données. Ces données peuvent inclure des SSN, des informations sur les cartes de crédit, l'historique des achats et les identifiants de compte, et sont vendues avec d'autres offres », explique M. Kuder.

Le sous-sol criminel : « un environnement commercial concurrentiel naturel »

Alors que le paysage de la cybercriminalité aurait pu être beaucoup plus simple à déchiffrer il y a quelques années, les différents rôles clés assumés par les acteurs : des IAB aux développeurs d'exploits en passant par les fournisseurs de « services à la carte » ont évolué à partir « d'opportunités de monétiser des phases spécifiques de la chaîne d'attaque », et en limitant la nécessité pour les acteurs de maîtriser tous les aspects de la conduite d'une opération d'attaque, explique Drew Schmitt, principal analyste des renseignements sur les menaces chez GuidePoint Security. Auparavant, les attaquants exécutaient une attaque complète de manière indépendante. Cette tâche prenait souvent du temps et ne garantissait pas le succès de l'opération.

Avec le temps, les individus et les groupes ont trouvé leur niche et « ont réalisé qu'ils pouvaient augmenter leurs profits de manière exponentielle en vendant une partie de la chaîne d'attaque ou en vendant le même logiciel malveillant (avec des configurations différentes) à un groupe d'acheteurs plus large », explique Drew Schmitt. « Grâce à ce modèle, ils ont pu gagner plus d'argent tout en faisant beaucoup moins de travail ». Selon M. Schmitt, à mesure que différents groupes ont assumé des rôles principaux dans la clandestinité criminelle, un environnement commercial concurrentiel naturel a émergé, ce qui a conduit à la création de groupes concurrents et d'une série de marchés naturels. « Au fur et à mesure que ces marchés sont devenus plus robustes, la barrière à l'entrée pour mener des cyberopérations criminelles a été abaissée et a permis à des acteurs moins techniques de mener leurs propres opérations criminelles ».