Le « business » de la cybercriminalité s’est professionnalisé en créant des écosystèmes segmentés, où les différents groupes se spécialisent dans des « services » entrants dans la « chaine de valeur » de ces activités malveillantes. Les compétences entre infraction et exploitation des vulnérabilités étant différentes, il est courant actuellement que ceux qui ont réussi l’effraction dans un SI, revendent leurs accès à des groupes spécialisés dans l’infiltration et l’implantation de maliciels. Ces derniers, à leur tour, laissent la place, moyennant un paiement, ou une part de la rançon bien entendu, à des spécialistes de la négociation, disons de l’extorsion plutôt. Une fois celle-ci réussie et le paiement effectué, des spécialistes du blanchiment entrent en jeu pour transformer les cryptomonnaies en espèces, comme nous l’avons détaillé dans cet article.
D’après une étude de Trend Micro sur les services d’hébergement souterrains, les serveurs compromis des administrations, qu’ils soient sur site ou dans le cloud, sont détournés et loués dans le cadre d’un mécanisme sophistiqué de monétisation criminelle. Les résultats de l’étude alertent notamment sur l’activité d’extraction de cryptomonnaie.
« Hébergement dédié aux services d’anonymisation, fourniture de noms de domaine, mise à disposition d’actifs légitimes compromis… les réseaux clandestins disposent d’un éventail sophistiqué d’offres d’infrastructures permettant de prendre en charge des méthodes de monétisation de tous types », déclare Robert McArdle, Director of Forward-looking Threat Research (FTR) chez Trend Micro. « Notre objectif est de sensibiliser et de mieux aider à comprendre l’infrastructure cybercriminelle pour aider les forces de l’ordre, les entreprises et les chercheurs à bloquer les voies d’accès de la cybercriminalité et à augmenter les coûts pour hackers souhaitant les utiliser. »
Les serveurs dans le cloud particulièrement exposés
L’étude Trend Micro Research liste les principaux services d’hébergement clandestins disponibles aujourd’hui et fournit des détails techniques sur leur fonctionnement, ainsi que sur la façon dont les cybercriminels les utilisent pour gérer leurs activités. Elle propose notamment une description détaillée du cycle de vie spécifique d’un serveur attaqué, de la compromission initiale à l’attaque finale. Ne bénéficiant pas du même niveau de protection que les serveurs sur site, les serveurs cloud sont particulièrement exposés aux attaques et sont souvent détournés pour servir d’infrastructures d’hébergement clandestines.
Parmi les autres tendances émergentes couvertes par l’étude en matière de services d’infrastructure clandestine : l’abus des services de téléphonie et d’infrastructure par satellite ; l’informatique « parasite » proposée en location, y compris les accès distants RDP et VNC cachés.