Comment les réseaux sombres de cybercriminels collaborent pour en réussir un

Dans leur communiqué de Carbis Bay, le G7 a annoncé son intention de travailler ensemble pour lutter contre les groupes de ransomware. Quelques jours plus tard, le président américain Joe Biden a rencontré le président russe Vladimir Poutine, où un processus d’extradition pour traduire les cybercriminels russes en justice aux États-Unis a été discuté. Poutine aurait accepté en principe, mais a insisté pour que l’extradition soit réciproque. Le temps nous dira si un traité d’extradition peut être conclu. Mais si c’est le cas, qui exactement doit être extradé et pour quoi faire ?

Le problème pour les forces de l’ordre est que le ransomware, une forme de malware utilisé pour voler les données des organisations et les conserver contre rançon, est un poisson très glissant. Non seulement il s’agit d’un crime mixte, comprenant différentes infractions dans différents corps de lois, mais c’est aussi un crime qui chevauche les attributions de différents services de police et, dans de nombreux cas, de pays. Et il n’y a pas un seul délinquant clé. Les attaques de ransomware impliquent un réseau distribué de différents cybercriminels, souvent inconnus les uns des autres pour réduire le risque d’arrestation.

Il est donc important d’examiner ces attaques en détail pour comprendre comment les États-Unis et le G7 pourraient s’attaquer au nombre croissant d’attaques de ransomware que nous avons vues pendant la pandémie, avec au moins 128 incidents divulgués publiquement dans le monde en mai 2021.

Ce que nous trouvons lorsque nous relions les points, c’est une industrie professionnelle très éloignée du livre de jeu du crime organisé, qui semble s’inspirer directement des pages d’un manuel d’études commerciales.

L’industrie des ransomwares est responsable d’une énorme quantité de perturbations dans le monde d’aujourd’hui. Non seulement ces attaques ont un effet économique paralysant, coûtant des milliards de dollars de dommages, mais les données volées acquises par les attaquants peuvent continuer à se propager tout au long de la chaîne criminelle et alimenter d’autres cybercrimes.

Les attaques de ransomware évoluent également. Le modèle commercial de l’industrie criminelle a évolué vers la fourniture de ransomware en tant que service. Cela signifie que les opérateurs fournissent les logiciels malveillants, gèrent les systèmes d’extorsion et de paiement et gèrent la réputation de la « marque ». Mais pour réduire leur exposition au risque d’arrestation, ils recrutent des affiliés sur des commissions généreuses pour utiliser leurs logiciels pour lancer des attaques.

Cela a entraîné une large répartition du travail criminel, où les personnes qui possèdent le malware ne sont pas nécessairement les mêmes que celles qui planifient ou exécutent des attaques de ransomware. Pour compliquer davantage les choses, les deux sont aidés à commettre leurs crimes par les services offerts par l’écosystème plus large de la cybercriminalité.

Comment fonctionnent les attaques de ransomware ?

Une attaque de ransomware comporte plusieurs étapes, que j’ai découvertes après avoir analysé plus de 4 000 attaques entre 2012 et 2021.

Premièrement, il y a la reconnaissance, où les criminels identifient les victimes potentielles et les points d’accès à leurs réseaux. Ceci est suivi par un pirate informatique qui obtient un « accès initial », en utilisant des identifiants de connexion achetés sur le dark web ou obtenus par tromperie.

Une fois l’accès initial obtenu, les attaquants cherchent à élever leurs privilèges d’accès, ce qui leur permet de rechercher les données organisationnelles clés qui causeront le plus de souffrance à la victime en cas de vol et de rançon. C’est pourquoi les dossiers médicaux des hôpitaux et les dossiers de police sont souvent la cible d’attaques de ransomware. Ces données clés sont ensuite extraites et enregistrées par les criminels, le tout avant l’installation et l’activation d’un ransomware.

Vient ensuite le premier signe de l’organisation victime d’une attaque : le ransomware est déployé, verrouillant les organisations à partir de leurs données clés. La victime est rapidement nommée et humiliée via le site Web de fuite du gang de ransomware, situé sur le dark web. Ce « communiqué de presse » peut également contenir des menaces de partage de données sensibles volées, dans le but d’effrayer la victime pour qu’elle paie la demande de rançon.

Les attaques réussies de ransomware voient la rançon payée en crypto-monnaie, qui est difficile à retracer, et convertie et blanchie en monnaie fiduciaire. Les cybercriminels investissent souvent le produit pour améliorer leurs capacités – et pour payer les affiliés – afin qu’ils ne se fassent pas prendre.

L’écosystème de la cybercriminalité

Bien qu’il soit possible qu’un délinquant suffisamment qualifié puisse remplir chacune des fonctions, c’est hautement improbable. Pour réduire le risque d’être pris, les groupes de délinquants ont tendance à développer et à maîtriser des compétences spécialisées pour les différentes étapes d’une attaque. Ces groupes bénéficient de cette interdépendance, car elle compense la responsabilité pénale à chaque étape.

Et il existe de nombreuses spécialisations dans le monde de la cybercriminalité. Il y a des spammeurs, qui louent des logiciels de spam en tant que service que les hameçonneurs, les escrocs et les fraudeurs utilisent pour voler les informations d’identification des personnes, et les courtiers en données qui échangent ces informations volées sur le dark web.

Ils peuvent être achetés par des « courtiers d’accès initial », qui se spécialisent dans l’accès initial aux systèmes informatiques avant de vendre ces détails d’accès à des attaquants potentiels de ransomware. Ces attaquants s’engagent souvent avec des courtiers en logiciels criminels en tant que service, qui louent des logiciels de ransomware en tant que service ainsi que d’autres logiciels malveillants.

Pour coordonner ces groupes, les darkmarketeers fournissent des marchés en ligne où les criminels peuvent ouvertement vendre ou échanger des services, généralement via le réseau Tor sur le dark web. Les monétiseurs sont là pour blanchir la crypto-monnaie et la transformer en monnaie fiduciaire, tandis que des négociateurs, représentant à la fois la victime et le délinquant, sont embauchés pour régler le montant de la rançon.

Cet écosystème est en constante évolution. Par exemple, un développement récent a été l’émergence du « consultant en ransomware », qui perçoit des frais pour conseiller les contrevenants aux étapes clés d’une attaque.

Arrêter les contrevenants

Les gouvernements et les forces de l’ordre semblent intensifier leurs efforts pour lutter contre les contrevenants aux ransomwares, après une année gâchée par leurs attaques continues. Alors que le G7 se réunissait à Cornwall en juin 2021, les forces de police ukrainiennes et sud-coréennes se sont coordonnées pour arrêter des éléments du tristement célèbre gang de ransomware CL0P. La même semaine, le ressortissant russe Oleg Koshkin a été condamné par un tribunal américain pour avoir utilisé un service de cryptage de logiciels malveillants utilisé par des groupes criminels pour effectuer des cyberattaques sans être détecté par des solutions antivirus.

Bien que ces développements soient prometteurs, les attaques de ransomware sont un crime complexe impliquant un réseau distribué de délinquants. Alors que les contrevenants ont perfectionné leurs méthodes, les forces de l’ordre et les experts en cybersécurité ont essayé de suivre le rythme. Mais la relative rigidité des dispositions policières et l’absence d’un contrevenant clé (M. ou Mme Big) à arrêter peuvent toujours les garder une longueur d’avance sur les cybercriminels, même si un traité d’extradition est conclu entre les États-Unis et la Russie.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.