Entre les sous-traitants initiaux qui vendent les accès volés et les infrastructures à louer, l’écosystème du cybercrime se professionnalise. D’après une étude de BlackBerry, les attaques les plus importantes de 2021 ont probablement été externalisées.
Le cybercrime s’est peu à peu organisé avec ses fournisseurs et ses sous-traitants, ses lignes de production d’Exploit kits et ses blanchisseurs de gain mal acquis. Un tel écosystème qui s’organise n’est pas une bonne nouvelle pour les entreprises et les gouvernements. La mise en place d’une chaîne de valeur du cybercrime signifie que les attaques font l’objet d’approches professionnelles, qui risquent d’être encore plus dévastatrices à l’avenir. Pire encore, mieux organisés et spécialisés, les attaquants pourront cibler des victimes en personnalisant leur approche à l’extrême, augmentant ainsi les chances de succès.
Cette évolution organisationnelle répartit les charges entre plusieurs groupes spécialisés. Elle abaisse le seuil d’entrée dans le cybercrime, puisqu’on n’a pas besoin de maîtriser toutes les étapes d’une attaque. Étudier ces réseaux, leurs modes de fonctionnement et leurs interdépendances, ouvre la voie à une meilleure compréhension de l’économie souterraine du cybercrime, et par conséquent à la combattre plus efficacement. C’est ainsi que l’édition 2022 du rapport annuel BlackBerry Threat Report met en lumière cette « économie partagée ».
Des infrastructures malveillantes reliées entre elles
Les limiers de BlackBerry on remonté les traces laissées par les pirates à l’occasion des attaques par ransomware les plus marquantes de l’année écoulée. « Ils laisseraient à penser que certains coupables n’étaient que de simples sous-traitants », affirme le rapport, qui en déduit que les attaques les plus importantes de 2021 ont probablement été externalisées.
« À de multiples reprises, explique-t-il, BlackBerry a pu observer que des traces (fichiers contenant des adresses IP et d’autres informations) avaient été laissées par les auteurs de la menace. Autrement dit, les développeurs à l’origine des ransomwares sophistiqués ne seraient pas ceux qui mènent les attaques, mettant en exergue le phénomène d’économie partagée dans le cyberespace clandestin ».
L’équipe BlackBerry Threat Research and Intelligence Team a suivi un courtier d’accès initial (Initial access broker ou IAB) non documenté jusqu’à présent. Rappelons qu’un IAB est un intermédiaire qui compromet les systèmes et en vend les accès au plus offrant sur le Dark web. L’enquête a permis de découvrir des infrastructures malveillantes reliées entre elles « et présentant une connexion inhabituelle entre plusieurs groupes de menaces apparemment sans lien entre eux ».
Des domaines partagés et…
En avril 2021, les chercheurs découvrent un domaine de balisage Cobalt Strike qui faisait également office de serveur C2. En suivant la piste, ils ont trouvé de nombreux chevauchements avec une infrastructure de malspam (spam maliciel ou malicious spam) déjà documentée. Celle-ci a servi diverses charges utiles, dont Dridex, au cours de l’année 2021. Elle a également été associée à une campagne d’hameçonnage ciblant des entités basées en Australie, tant privées que gouvernementales.
Des recherches plus approfondies ont permis de découvrir d’autres liens avec une intrusion du ransomware MountLocker en mars 2021, par le biais d’informations de registrant de domaine partagées pour le domaine supercombinating[.]com. Des recherches supplémentaires ont révélé un autre domaine connexe, mention onecommon[.]com, qui s’est résolu sur la même adresse IP en alternance avec supercombinating[.]com pendant plusieurs mois. « Des renseignements de source ouverte ont confirmé que ce domaine avait déjà été marqué comme un serveur C2 de StrongPity en juin 2020 ».
… appartenant au même groupe
Promethium (alias StrongPity) est un groupe APT actif depuis 2012.Il utilise généralement des attaques de type watering hole comme mécanisme pour délivrer des versions contaminées d’utilitaires couramment utilisés. WinRAR, CCleaner et Internet Download Manager sont quelques-uns des utilitaires qui ont été malicieusement reconvertis pour distribuer les maliciels du groupe. Une information publiée par The DFIR Report d’août 2020 indique que d’autres ransomwares ont été distribués par supercombinating[.]com. Cette fois, le maliciel appartenait à la famille Phobos, et non MountLocker.
De plus, les domaines trouvés dans toute cette infrastructure chevauchante utilisée pour résoudre les IP étaient fournis par un ASN bulgare. Le fait que toutes les adresses IP soient regroupées sur le même ASN ajoute de la crédibilité à la théorie selon laquelle elles appartiennent à un seul et même groupe.
Intermédiaires et facilitateurs prolifèrent
Nous voici donc avec une infrastructure partagée par plusieurs groupes malveillants. Les chercheurs se sont même demandé s’ils n’étaient pas face à un système de distribution mutualisé. Bien que différents groupes de ransomware puissent partager l’infrastructure, les recherches indiquent que ce n’était pas le cas. Dans de nombreux cas, un délai a été observé entre la compromission initiale par Cobalt Strike et la diffusion d’autres ransomwares. De plus, le fait que toutes les adresses IP soient regroupées sur le même ASN accrédite la théorie selon laquelle elles appartiennent à un seul groupe.
« Ces facteurs nous ont amenés à conclure que l’infrastructure qui se chevauche n’est pas celle de MountLocker, Phobos ou Promethium. Elle appartient plutôt à un quatrième groupe qui a agi comme un intermédiaire pour faciliter les opérations des trois premiers. Cet arrangement a été réalisé soit en fournissant/vendant l’accès initial, soit en fournissant un IaaS ».C’est ainsi que les intermédiaires et les facilitateurs rémunérés prolifèrent.