Les cybercriminels sont un peu comme le travailleur commercial quotidien mal payé

Une nouvelle recherche remet en question la notion populaire selon laquelle les cybercriminels peuvent gagner des millions de dollars dans le confort de leur foyer – et sans trop d’efforts.

Notre article, publié dans la revue Trends in Organized Crime, suggère que les délinquants qui vendent illégalement des outils de cybercriminalité à d’autres groupes ne sont pas promis à un succès automatique.

En effet, le marché du «crimeware-as-a-service» est très concurrentiel. Pour réussir, les fournisseurs doivent travailler dur pour attirer des clients et développer leur activité criminelle.

Ils doivent combiner leurs compétences et faire appel à leur sens des affaires pour attirer (et tirer profit) d’autres cybercriminels souhaitant leurs «services». Et les tactiques qu’ils utilisent ressemblent davantage à un manuel de pratique commerciale qu’à une opération classique de la mafia.

Le commerce en ligne des agents de stress DDoS

À l’aide d’une analyse des réseaux sociaux, nous avons étudié les modèles de paiement en ligne du crimeware-as-a-service.

Plus précisément, nous avons examiné un facteur de stress par déni de service distribué (DDoS). Un «facteur de stress DDoS», également appelé booter IP, est un outil en ligne que les contrevenants peuvent louer pour lancer des attaques DDoS contre des sites Web.

Lors de telles attaques, le site Web ciblé est bombardé de nombreuses tentatives de connexion à la fois. Cela obstrue le trafic du site et conduit à un refus d’accès à tous les utilisateurs, provoquant ainsi un crash du site.

Achetez votre abonnement VIP à la cybercriminalité aujourd’hui

Le facteur de stress que nous avons analysé a été retiré par la police néerlandaise après six mois de fonctionnement. Puisque toutes les identités impliquées ont été anonymisées, nous l’avons appelé StressSquadZ.

Nous avons exploré les opérations de service et les systèmes de paiement de StressSquadZ pour observer comment son fournisseur de services interagissait avec les clients. Contrairement à l’idée d’une cybercriminalité organisée ressemblant à une version cyberpunk de The Godfather, leurs stratégies semblaient provenir directement d’un livre de jeu commercial.

Le fournisseur de StressSquadZ a offert aux clients une gamme de plans de marketing et d’abonnement. Celles-ci ont commencé à un prix d’essai de lancement de 1,99 $ US pour dix minutes de service limité, jusqu’aux options plus coûteuses. Les clients souhaitant une attaque «pleine puissance» pouvaient acheter un service VIP sur mesure pour 250 USD.

De toute évidence, le fournisseur de StressSquadZ avait envie de maximiser ses profits. Et tout comme nous apprécions tous une bonne affaire, leurs clients ont voulu payer le moins possible.

Le (cyber) crime ne paie pas

Les données de communication que nous avons analysées, cartographiées ci-dessous, indiquaient la clientèle compromise de trois groupes distincts de hackers: amateurs (rouge), professionnels (vert) et non professionnels qualifiés (jaune).

Le plan d’essai à faible impact était l’achat le plus populaire. Ces utilisateurs, qui représentaient environ 40% du pool total de clients, sont très probablement motivés par le frisson de la transgression plutôt que par la pure intention criminelle.

Un petit groupe avait des intentions plus sérieuses, comme l’indiquaient leurs niveaux d’abonnement plus chers. Après avoir investi davantage, ils auraient besoin d’un meilleur retour sur investissement.

Notamment, nous avons constaté que le rendement moyen des personnes impliquées était faible, comparé au rendement obtenu lors d’autres opérations de cybercriminalité étudiées. En fait, StressSquadZ a fonctionné à perte pendant la majeure partie de sa vie.

Deux choses aident à expliquer cela. Premièrement, le service a été de courte durée. Au moment où il a commencé à gagner du terrain, il a été arrêté. En outre, il était en concurrence sur un vaste marché, perdant des clients potentiels au profit d’autres fournisseurs de services similaires.

Complice de l’acte

Bien que les facteurs de stress puissent être utilisés légalement pour tester la résilience des systèmes de sécurité, nous avons constaté que l’intention principale d’utiliser StressSquadZ était comme un véhicule d’attaque contre des sites Web.

Le prestataire de services n’a pas tenté d’empêcher les clients de faire une utilisation illégale, faisant ainsi d’eux un facilitateur du crime. C’est en soi un crime en vertu de la législation sur l’utilisation abusive de l’ordinateur dans la plupart des juridictions australiennes.

Cela dit, le groupe de criminels exploitant StressSquadZ était très différent d’un groupe criminel plus archétypal et hiérarchisé, tel que la mafia. Sans un «patron», StressSquadZ était parfois désorganisé et les tâches et les avantages étaient plus équitablement répartis.

Nous sommes désormais confrontés à moins d’attaques DDoS (mais plus fortes)

L’émergence de facteurs de stress DDoS au cours de la dernière décennie a en fait conduit à une réduction globale du nombre d’attaques DDoS.

Selon le projet CRITiCaL, sur 10 000 cyberattaques entre 2012 et 2019 – dont 800 étaient des attaques DDoS – le nombre d’attaques est passé de 180 en 2012 à moins de 50 l’an dernier.

Cela peut être dû au fait que les attaques individuelles sont désormais plus puissantes. Les premières attaques DDoS étaient faibles et de courte durée, de sorte que les systèmes de cybersécurité pouvaient les surmonter. Les attaques aujourd’hui poursuivent leur but, qui est d’invalider l’accès à un système, pour une durée plus longue.

Il y a eu une augmentation massive de la portée et de l’intensité des attaques au cours de la dernière décennie. Les dommages autrefois causés à une échelle de mégaoctets sont maintenant devenus des gigaoctets et des téraoctets.

Les attaques DDoS peuvent faciliter le vol de données ou augmenter l’intensité des attaques de ransomware.

En février, ils ont été utilisés comme une menace persistante pour demander le paiement d’une rançon à diverses organisations australiennes, y compris des banques.

En février également, nous avons été témoins de l’une des attaques DDoS les plus extrêmes de mémoire récente. Amazon Web Services a été frappé par une attaque soutenue qui a duré trois jours et atteint jusqu’à 2,3 téraoctets par seconde.

La menace de telles agressions (et les réseaux qui les subissent) est très préoccupante, notamment parce que les attaques DDoS s’accompagnent souvent d’autres crimes.

Cependant, il est utile de savoir que les fournisseurs de facteurs de stress utilisent un modèle d’entreprise ressemblant à n’importe quel site Web de commerce électronique. Peut-être qu’avec cette perspicacité, nous pouvons passer aux choses sérieuses en les supprimant.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.