La marque d’un organisme qui atteint une certaine maturité est la spécialisation. C’est précisément la phase que traverse actuellement l’écosystème du crime. Auparavant le fait de groupes disparates, celui-ci se structure en une véritable chaîne de valeur.
Dans les colonnes d’IT Social, nous avons souvent abordé des sujets connexes à la cybersécurité, ce qui nous permet de rendre compte de ce qui se passe derrière les événements qui font la une de la presse. Comment les cybercriminels ont introduit de nouveaux modèles commerciaux pour développer leurs activités et chassent en meute en ciblant le « gros gibier », ou comment ils ont affiné leurs techniques de chantage et d’extorsion.
Comme dans les domaines technologiques, sociaux et professionnels, les tendances qui étaient à l’œuvre auparavant se sont accélérées durant l’année 2020, y compris dans l’écosystème du cybercrime. Le milieu s’est organisé en chaînes de valeur où la spécialisation permet aux cybermalfaiteurs de se compléter via des compétences spécifiques. Comme le souligne CrowdStrike dans son étude Global Threat Report 2021, le BGH ou Big gamehunting(pour chasse au gros gibier) est le fait de groupes organisés qui troquentleurs rôles en fonction des besoins du moment.
Une cartographie du cybercrime
Selon CrowdStrike, les facilitateurs sont devenus un élément essentiel de l’écosystème de la cybercriminalité, car ils fournissent aux acteurs criminels des capacités auxquelles ils n’auraient pas accès autrement. Ces acteurs mènent des opérations de malware-as-a-service, se spécialisent dans les mécanismes de livraison ou exploitent les réseaux afin de vendre des accès à d’autres acteurs criminels. Le schéma ci-dessous montre un écosystème basé sur la collaboration. Il permet aux groupes de s’approvisionner auprès d’autres groupes afin d’améliorer leurs capacités et maximiser leur rentabilité ou augmenter les chances de succès de leurs campagnes.
Par exemple, le téléchargeur Amadey Loader et le Smoke Bot de Smoky Spider restent populaires parmi une variété d’acteurs. Le spambot Cutwail v2 de Narwhal Spider était fortement utilisé par Doppel Spider, et l’Emotet de Mummy Spider a été exploité par Mallard Spider et Wizard Spider. Le cheval de Troie bancaire Zloader est réapparu, en soutenant des campagnes menées par des cybermalfaiteurs sophistiqués du BGH.
Le rôle grandissant des courtiers en intrusions
« L’écosystème de la cybercriminalité reste vaste et interconnecté. En 2020, les courtiers d’accès [plutôt courtiers en intrusions dits access brokers en anglais, NDLR] ont joué un rôle essentiel dans l’écosystème de la criminalité en ligne, en soutenant divers acteurs, dont les opérateurs de logiciels de rançon du BGH », écrivent les rédacteurs du rapport. Les courtiers en intrusions sont des acteurs de la menace qui obtiennent des accès dérobés à diverses organisations (entreprises et entités gouvernementales) et vendent ces accès soit sur des forums criminels, soit par des canaux privés.Par exemple, Lunar Spider et Mallard Spider ont été observés utilisant leurs capacités pour adopter ce rôle.
Tout au long de l’année 2020, les agents des renseignements de CrowdStrike Intelligence ont observé un certain nombre de changements chez les acteurs de la cybercriminalité. Carbon Spider s’est éloigné des campagnes sur les points de vente (POS) en faveur de la BGH, en introduisant finalement son propre ransomware, DarkSide. Des acteurs établis de la cybercriminalité comme Mummy Spider, Wizard Spider et Carbon Spider ont continuéà stimuler l’innovation dans le monde du développementdes logiciels malveillants.
Selon les limiers de CrowdStrike, la structuration du marché en 2020 n’est que le début d’un long processus. Le schéma présenté ci-dessus n’est pas représentatif de l’ensemble du marché du cybercrime organisé. « Alors que de nombreux acteurs criminels établis opèrent encore en Russie et en Europe de l’Est, explique le rapport, l’écosystème complet est véritablement mondial, avec l’apparition de nouveaux marchés, qui mûrissent en Amérique latine, en Asie, au Moyen-Orient et en Afrique ».