Comme les entreprises qu’il cible, le monde de la cybercriminalité est devenu un écosystème très organisé et professionnel. Il emprunte aux entreprises leur agilité et leurs processus, et tente de créer un écosystème pour mutualiser les attaques et améliorer son efficacité.
Historiquement, la cybercriminalité est née dans l’amateurisme et du désir égotique de réussir des exploits. Les plus anciens se souviennent des premiers pirates, des étudiants en général, seuls derrière leurs écrans, triturant du code pour contourner des contre-mesures presque inexistantes. Depuis, la cupidité a pris le dessus et les cybercriminels se sont professionnalisés. Ils ont mis sur pied des organisations complexes, développé des outils réutilisables et adopté des processus qui leur ont permis d’industrialiser leurs activités. Ils passent à présent à l’étape suivante, qui est la création d’un véritable écosystème du cybercrime.
D’après une étude des experts en cybersécurité de Kaspersky, l’univers de la cybercriminalité est structuré comme un vaste écosystème de fournisseurs qui se vendent des services entre eux. « Certains groupes de cybercriminels vont même plus loin et n’hésitent pas à créer de véritables marketplaces, expliquent-ils, comme celle que le groupe Sodinokibi utilise depuis peu pour vendre les données dérobées, ou même à créer des alliances et partenariats comme l’a récemment revendiqué sur son site le groupe à l’origine du ransomware Maze ». Si cela continue comme ça, il n’est pas impossible que nous assistions bientôt à des fusions-acquisitions (!).
Selon Kaspersky, le fait de s’attaquer à des entreprises, qui investissent de plus en plus d’efforts et de moyens dans les contre-mesures, oblige les cybercriminels à mutualiser leurs moyens pour percer les défenses mises en place. Les défenses des entreprises ne peuvent être percées par les mêmes moyens que ceux utilisés contre les particuliers et l’installation aléatoire de logiciels malveillants par des employés sans méfiance ne suffit pas, peut-on lire dans le rapport.
« Un point essentiel à garder en tête est que l’attaque d’une entreprise n’est pas due au hasard : c’est une opération complexe résultant de l’action d’une chaîne de valeur complète, de l’intrusion dans le système de l’entreprise jusqu’à la demande de rançon ou le vol de données, en passant par l’installation d’un logiciel malveillant. Et chacune de ces étapes peut être réalisée par des groupes différents » analyse Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky.
Le détenteur d’un réseau de machines infectées dispose de plusieurs options pour en tirer profit explique le rapport. Il peut mettre en œuvre les actions suivantes :
- infrastructure as a Service (IaaS) : les machines infectées sont utilisées comme relais pour d’autres attaques, ou pour stocker des contenus illégaux ;
- crimeware as a service : vente de services liés à la cybercriminalité, tels que l’organisation d’attaques DDoS ou distribution de spam provenant des machines infectées ;
- malware as a Service : installation d’un logiciel malveillant fourni par le client sur les ordinateurs infectés (généralement facturé en fonction du nombre d’installations) ;
- fractionnement des machines infectées en lots, « pack de 1000 victimes en France » par exemple, et vente d’accès direct.