L’étude d’un marché de la cybercriminalité en action

Des chercheurs du Cambridge Cybercrime Center ont révélé ce qu’ils avaient appris en analysant des centaines de milliers de transactions illicites qui ont eu lieu dans un forum souterrain sur la cybercriminalité au cours des deux dernières années.

Après avoir constaté une forte augmentation des transactions illégales lors du premier verrouillage national au printemps dernier, les chercheurs avertiront lors d’un atelier cet après-midi que le deuxième verrouillage entraînera probablement une nouvelle augmentation des activités de cybercriminalité. Mais ils offriront également des informations sur la manière dont une telle activité peut être perturbée.

Les chercheurs ont collecté des données sur les échanges illicites auprès de HackForums, la communauté de cybercriminalité en ligne la plus grande et la plus populaire au monde. Il y a deux ans, il a créé un marché où les contrats devaient être enregistrés pour toutes les transactions afin de protéger les membres de la communauté contre les escroqueries et les fraudes.

Le système de contrat a été introduit en 2018, puis rendu obligatoire au printemps 2019, pour tous les utilisateurs du marché. Il a enregistré tous les achats et ventes illicites, entre autres, de logiciels malveillants (malwares), de devises telles que Bitcoin et de bons cadeaux, de «  packs  » eWhoring (par exemple de photos et de vidéos à contenu sexuel), de didacticiels de piratage et d’outils qui permettent aux utilisateurs illégalement pour accéder ou contrôler des serveurs distants.

Ironiquement, HackForums avait introduit le système de journalisation des contrats en réponse aux préoccupations de ses membres selon lesquelles les métiers étaient abusés et arnaqués. Mais ce faisant, il a involontairement levé le couvercle sur le fonctionnement de ces marchés souterrains.

Les données générées par la journalisation des contrats ont été collectées par des chercheurs ici. Et après l’avoir analysé et en utilisant des approches de modélisation statistique, les chercheurs ont pu apporter un nouvel éclairage important sur le fonctionnement d’un marché de la cybercriminalité, espérons-le au profit de la communauté de la sécurité.

Les chercheurs ont observé que le marché fonctionnait initialement comme un forum où de nombreux utilisateurs individuels effectuaient des transactions ponctuelles. Puis ça a changé. Au fur et à mesure que le système de contrats devenait obligatoire, en quelques mois, le marché se concentrait autour d’un petit groupe d ‘«utilisateurs puissants» offrant des biens et des services qui étaient attrayants pour beaucoup.

«Ce petit groupe d’utilisateurs – représentant environ 5% de tous les utilisateurs – est impliqué dans environ 70% de toutes les transactions», a déclaré Anh Vu, assistant de recherche au Cambridge Cybercrime Center et co-auteur de l’article que le Centre vient de produit, « Turning Up the Dial: the Evolution of a Cybercrime Market through Set-up, Stable, and COVID-19 Eras ».

Et puis vint la déclaration mondiale de la pandémie de coronavirus en mars 2020. L’équipe de recherche a vu le virus et les verrouillages qui en résultent qui ont été introduits de manière significative « augmenter le cadran » sur le nombre de transactions sur le marché.

«Il y a eu une forte augmentation des transactions dans ce que nous appelons« l’ère COVID-19 »», a déclaré Anh. «En regardant les forums de discussion, nous pouvions voir qu’une période d’ennui de masse et de changement économique – alors que vraisemblablement certains membres n’étaient pas en mesure d’aller à l’école et d’autres avaient perdu leur emploi – a vraiment stimulé le marché.

« Les membres devaient gagner de l’argent en ligne et ils avaient beaucoup de temps libre, et nous avons donc constaté une augmentation de l’activité de négociation. Nous nous attendons à voir une autre hausse au cours du deuxième verrouillage, mais nous ne pensons pas qu’elle sera aussi importante. comme pendant la première. « 

L’augmentation des affaires pendant la pandémie a également permis de conclure beaucoup plus rapidement les contrats de transaction. Alors que dans les premiers mois du marché, le délai d’exécution des contrats était d’environ 70 heures, pendant la pandémie, il est tombé à moins de 10 heures.

Les forums clandestins en ligne comme HackForums sont des communautés utilisées pour le commerce de matériel illicite et le partage de connaissances. Les forums prennent en charge une pléthore de cybercrimes, permettant aux membres de s’informer et de se livrer à des activités criminelles telles que le commerce d’objets virtuels obtenus par des moyens illicites, le lancement d’attaques par déni de service ou l’obtention et l’utilisation de logiciels malveillants. Ils facilitent une variété d’entreprises illicites visant à gagner de l’argent facilement.

Les chercheurs du Cambridge Cybercrime Center ont déjà effectué des travaux sur les forums souterrains. «Mais c’est le premier ensemble de données dont nous ayons connaissance et qui fournit des informations sur les contrats conclus dans ces forums», déclare Anh. Auparavant, alors que les traders pouvaient se rencontrer en ligne dans un forum, ils échangeraient probablement hors ligne via une messagerie privée. Mais l’introduction du système de contrat signifie que toutes les transactions sont désormais enregistrées – et peuvent donc être suivies.

À l’aide de ces données, les chercheurs ont examiné une variété d’activités commerciales se déroulant sur le marché. Les activités les plus importantes étaient les échanges de devises et les paiements – par exemple, l’échange de Bitcoin (une monnaie très populaire dans le commerce illicite car les gens pensent qu’elle ne laisse aucune trace) contre des fonds PayPal.

Cette activité a été suivie par les échanges de cartes cadeaux (y compris les cartes cadeaux Amazon) et de licences logicielles. « Lorsque vous installez un progiciel comme Windows », a déclaré Anh. « Vous devez saisir une clé pour l’activer. Les gens achètent souvent des clés logicielles illégalement sur un marché comme celui-ci parce que c’est moins cher pour eux que de l’acheter officiellement auprès de Microsoft – et parfois ils peuvent l’obtenir gratuitement en échange d’autres articles. »

Les autres produits et services qu’ils ont trouvés échangés sur le marché clandestin étaient des didacticiels de piratage, des outils d’accès à distance et du matériel eWhoring – des photos et des vidéos à contenu sexuel qui sont vendues à un tiers, qui les paie en croyant payer pour une activité sexuelle en ligne. rencontre.

Ils ont utilisé plusieurs méthodes pour essayer d’estimer les valeurs des transactions effectuées via HackForums et ont conclu qu’en tenant compte des transactions publiques et privées et en extrapolant pour chaque type de contrat, la limite inférieure totale des transactions dépassait 6 millions de dollars.

Ce que les chercheurs ont appris sur le fonctionnement d’un marché souterrain de la cybercriminalité est précieux, selon eux, pour la communauté de la sécurité. La journalisation des contrats lors du commerce des marchandises a permis aux utilisateurs de se forger une forme de confiance et de réputation, ce qui a conduit à la montée en puissance des «utilisateurs puissants» sur le marché.

« Et maintenant, nous savons qu’un petit groupe d’utilisateurs puissants est responsable d’un grand nombre de transactions, il serait logique de concentrer les interventions sur elles », a déclaré Anh. « Cela aura un impact bien plus important que de s’attaquer à un grand nombre d’individus. »

Dans leur article, ils suggèrent des interventions pour saper la réputation et la fiabilité perçues des grands acteurs – par exemple en publiant de fausses critiques négatives à leur sujet et en utilisant d’autres méthodes, appelées attaques Sybil, qui perturbent les systèmes de réputation du marché.

Et les chercheurs continuent de surveiller le marché. «Nous sommes intéressés de savoir comment le marché évolue pendant ce deuxième verrouillage et après», a déclaré Anh. « Et cherchera à voir si de nouvelles activités commerciales émergent. »