Avis d’expert – L’interdépendance croissante entre acteurs de la menace pose de nouveaux défis aux entreprises. Et pour comprendre le contexte actuel, elles doivent analyser un réseau d’interconnexions complexes et croissantes qui relie les acteurs étatiques sophistiqués, les groupes de menace, et les cybercriminels de tous niveaux. Par Blandine Delaporte, solution engineer director chez SentinelOne
Les cybermenaces ont atteint un niveau de complexité inédit, en raison de l’interdépendance entre les différents acteurs de la menace. Dans une économie florissante de cybercrime as a service (CaaS), les hackers se partagent leurs savoir-faire et leurs outils et services sur le dark web, augmentant ainsi considérablement la sophistication et l’ampleur de leurs attaques.
Comment les attaquants partagent leurs connaissances et leurs savoir-faire malveillants
Ces dernières années, la disponibilité des services de cybercriminalité s’est solidement ancrée au sein des réseaux criminels et favorise la coopération entre les hackers. Les modèles de Cybercrime-as-a-Service (CaaS) permettent aux attaquants de partager leurs connaissances et leurs procédés sur les marchés noirs. Cet écosystème fonctionne comme une entreprise classique, où les aspirants cybercriminels peuvent acheter ou louer – sur des forums privés et le dark web – des outils et services (obscurcissement, location de botnet IoT, phishing et backdoor, etc…), des techniques et de l’expertise afin de lancer leurs propres campagnes.
Le dark web, un terrain fertile pour une nouvelle vague de cybercriminalité
Aujourd’hui, le dark web sert de plaque tournante aux cybercriminels. Cet espace illicite a favorisé l’interdépendance entre les cybercriminels et décuple l’ampleur et la sophistication des menaces. Le plus souvent alimentés par TOR et des adresses .onion, de nombreux services se multiplient sur le darknet pour soutenir des entreprises criminelles, notamment I2P (Invisible Internet Project) et Hyphanet. Bien que ces services servent à des fins légitimes en matière de connexions réseau anonymes et privées, de protection de la vie privée et de résistance à la censure, il ne fait aucun doute que les cybercriminels en ont largement profité.
L’émergence des courtiers en accès initial
Alors que les marchés noirs facilitent l’accès aux outils et aux services malveillants, des courtiers en accès initial (Initial Access Brokers – IAB) vendent des accès non autorisés aux systèmes compromis pour lancer des cyberattaques. Leur émergence a introduit une couche supplémentaire de monétisation des violations de données, transformant les cybermenaces en une marchandise extrêmement rentable. Les IAB offrent également un marché pour les identifiants volés et les vulnérabilités des logiciels, ce qui permet d’apporter à un large éventail d’attaquants diverses compétences. Accéder aussi facilement à des cibles potentielles permet aux cybercriminels de lancer rapidement de nouvelles campagnes.
Le rôle des cyberaffiliés
L’évolution de la collaboration entre acteurs de la menace est également liée à l’émergence des cyberaffiliés, individus ou groupes qui mettent à profit leurs compétences pour participer à des cyberattaques, en échange d’une part des bénéfices. Cette approche décentralisée permet de créer un écosystème de menaces plus diversifié et plus puissant. Les affiliés font partie intégrante du système de ransomware-as-a-service (RaaS). Cette collaboration amplifie la portée et la gravité des attaques de ransomware puisque les affiliés opèrent de manière autonome sous l’égide de RaaS, élargissant ainsi le paysage des menaces et générant des profits pour les deux parties impliquées.
Les complices des cybercriminels
Dans les coulisses, se cache un réseau de facilitateurs qui alimentent les opérations malveillantes des cybercriminels. Les développeurs de cryptomonnaies, par exemple, créent des outils qui tentent de déguiser les malwares pour éviter qu’ils soient détectés par les logiciels de sécurité les moins sophistiqués. Les kits de malwares et les droppers proposent des codes malveillants « prêts à l’emploi » attirant une nouvelle génération de cybercriminels ayant moins de connaissances techniques.
L’hébergement Bulletproof joue également un rôle essentiel dans l’interconnexion des cybercriminels. Idéal pour dissimuler les activités en ligne illégales, ce service propose une infrastructure résistant aux démantèlements et aux actions des forces de l’ordre. Les fournisseurs d’hébergement Bulletproof installent leur dispositif dans des juridictions connues pour leurs réglementations internet laxistes, rendant ainsi plus difficile la fermeture ou la saisie de leurs serveurs par les autorités. Ils n’exercent généralement qu’une surveillance ou des restrictions minimales, ce qui permet aux cybercriminels d’héberger du contenu illégal, de diffuser des malwares, des sites de phishing et autres activités malveillantes. En fournissant une plateforme fiable et sécurisée, les hébergeurs Bulletproof attirent un large éventail de cybercriminels, ce qui leur permet de collaborer, de partager des ressources et même de coordonner des attaques, démultipliant leur impact collectif. Les VPN font également partie des services les plus couramment utilisés par les hackers. Les fournisseurs de VPN criminels hébergent des proxys qui permettent aux utilisateurs de router leur trafic sans que leur adresse IP soit identifiable.
Le rôle des crypto-monnaies dans l’arène des menaces
L’explosion de la cybercriminalité ces dernières années s’explique par la capacité des criminels à transférer de l’argent sans surveillance. Les crypto-monnaies (bitcoin) ont transformé la façon dont les acteurs de la menace gèrent les gains mal acquis et mènent leurs activités illégales. Compte tenu de sa nature décentralisée, de son anonymat et de sa facilité d’utilisation, la crypto-monnaie permet d’échapper à la plupart des procédures pénales lors d’activités illégales. Les portefeuilles de crypto-monnaie stockent en toute sécurité les actifs numériques et permettent des transactions anonymes via des adresses uniques. Les mixers ou tumblers fusionnent plusieurs transactions, rendant ainsi l’origine des fonds difficile à retracer. Pour complexifier la chose, les hackers utilisent également des échangeurs de crypto-monnaies afin de passer d’une crypto-monnaie à une autre. L’ensemble de ces outils aide les cybercriminels à masquer leurs activités financières, pour rendre la détection et le suivi des revenus illégaux plus difficiles pour les autorités. L’interdépendance croissante observée entre les cybercriminels reflète la nature complexe du contexte actuel de la cybercriminalité. Elle montre également qu’il est urgent pour les entreprises de mettre en place des stratégies de cybersécurité de bout en bout, capables de protéger de manière autonome les différentes surfaces d’attaque. Les responsables de la sécurité ont aussi un rôle important à jouer. Ils doivent notamment s’assurer que leurs solutions offrent une vision étendue sur l’ensemble des systèmes, détectent et répondent aux menaces en temps réel, tout en s’adaptant à la croissance de l’entreprise.
Blandine Delaporte, solution engineer director chez SentinelOne
