Avec la maturité vient la nécessité de structurer un marché dont le chiffre d’affaires pourrait atteindre 5 200 milliards de dollars durant les quatre prochaines années, selon Accenture. Un marché qui s’organise autour de fournisseurs de services et d’une présence furtive dans le web.
L’entrée en lice des groupes sponsorisés par les gouvernements, la multiplication des surfaces d’attaque dues au télétravail, les montants dérobés affriolants ont entrainé le monde de la cybercriminalité vers une structuration, à l’image d’un écosystème qui s’organise, avec ses fournisseurs, ses clients et ses intermédiaires. En bref, il industrialise ses processus et se recompose, ce qui augmente sa dangerosité et en fait l’un des principaux risques qui menacent les entreprises.
C’est ainsi qu’un véritable marché des services s’est mis en place pour répondre aux besoins des groupes cybercriminels. Dans un rapport d’enquête, Trend Micro décrypte le marché des services d’hébergement souterrains. Un premier rapport d’une série en trois parties explore le marché de l’achat et de la vente des services d’hébergement, qui constitue l’épine dorsale de l’ensemble du modèle économique des cybercriminels (spam, connexion avec un serveur de commande et de contrôle, service d’assistance pour les ransomwares…).
Un catalogue de services d’hébergement…
Les cybercriminels utilisent ainsi divers types d’hébergements souterrains et de services associés pour exercer leurs activités. Ces services peuvent comprendre la fourniture d’infrastructures d’hébergement durcies (bulletproof), de noms de domaine, d’infrastructures à débit rapide, d’accélérateurs de trafic, de serveurs virtuels et dédiés, de réseaux privés virtuels (VPN), des es anonymiseurs et la protection contre les attaques par déni de service (DDoS). Les infrastructures hébergées sont également utilisées pour envoyer des courriels d’hameçonnage, faire du commerce de marchandises illégales sur des boutiques en ligne et héberger des systèmes privés virtuels (SPV) qui peuvent être utilisés pour lancer des attaques.
Il est intéressant de noter que des références à de tels services ont également été observées sur des forums liés aux paris en ligne, au marketing en ligne et à l’optimisation pour les moteurs de recherche (SEO). Les fournisseurs de tels services utilisent ces références pour produire des clics et influencer les résultats affichés par les moteurs de recherche. Une manière de se faire de la publicité sans acheter d’espaces ni de mots clés.
… et une présence furtive dans le « web de surface »
Les enquêteurs de Trend Micro ont également trouvé des groupes de discussion sur des plateformes de messagerie en ligne comme VK, Telegram et WhatsApp, qui ont été utilisés pour faire la publicité des services susmentionnés. « Nous avons pu relier les annonces sur les forums clandestins et les réseaux sociaux grâce aux mêmes coordonnées que celles fournies par les vendeurs », expliquent les rédacteurs du rapport. Ce constat contredit l’idée généralement admise que les criminels ne vendent les biens illicites que dans les milieux clandestins. À la manière des vendeurs à la sauvette, ils s’efforcent d’être présents sur le « web de surface » sans se faire remarquer.
L’état actuel du marché clandestin de la cybercriminalité est bien établi avec des forums remplis d’offres et des communautés dynamiques d’acteurs de différents niveaux de maturité. « Les marchés souterrains ont évolué et développé des structures qui reflètent les entreprises légitimes, conclut le rapport. Les vendeurs ont mis au point des modèles commerciaux détaillés et des systèmes de monétisation qui accepte les moyens de paiement courants, tels que PayPal, Mastercard, Visa et les cryptomonnaies ».
L’éventail des produits proposés par les marchés clandestins est très varié. Outre la variété de produits que l’on trouve dans l’underground, les services de piratage informatique abondent désormais dans des magasins spécialisés.