Le rapport publié par Outpost24 s’intéresse à une nouvelle classe (au sens social du terme) de hackers, les Traffers (qui signifie ouvrier en Russe), dont l’objectif et la fonction sont d'exfiltrer les informations d'identification et d'en tirer un profit personnel avant de vendre les informations à d'autres cybercriminels. Pour ce faire, ils diffusent différents types de familles de logiciels malveillants par le biais de différentes méthodes.
Le KrakenLabs d'Outpost24 a surveillé plusieurs groupes de trafiquants, en recueillant des informations sur les forums et les canaux Telegram, ainsi qu'en obtenant et en analysant des échantillons de logiciels malveillants provenant de différentes sources. « Nous avons acquis une visibilité approfondie de l'écosystème, depuis ses premières étapes avec le recrutement de travailleurs, jusqu'à la détection des infections de logiciels malveillants et la localisation des clouds de logs dédiés (les canaux Telegram spécifiques où ils partageront ou vendront les logs récupérés) », affirme les rédacteurs du rapport.
Un écosystème qui se professionnalise
Ces dernières années, l'écosystème du vol d'identifiants a évolué avec la professionnalisation accrue des activités cybercriminelles. Cette tendance est illustrée par la multiplication des Initial Access Brokers (IAB), la prolifération des groupes spécialisés dans le rançongiciel, la hausse des coûts dus aux malwares, et surtout, l’émergence des équipes de Traffers, qui veut dire ouvrier en Russe. Ces voleurs se sont spécialisés dans le vol d’identifiants et jouent un rôle de plus en plus important dans la diffusion des menaces, ainsi que dans l’économie souterraine des acteurs de la menace. Ils sont chargés de rediriger des utilisateurs vers des contenus malveillants exploités par d'autres acteurs de la menace.Pour augmenter leur taux de réussite, les trafiquants génèrent du trafic pour l'hôte infecté avec des publicités Google frauduleuses, des comptes YouTube volés et d'autres techniques similaires. Celles-ci sont utilisées pour diffuser les logiciels malveillants aussi largement que possible. Les trafiquants ont développé un modèle d'entreprise qui implique un recrutement, une formation et une rémunération spécifiques, qui les distinguent des autres cybercriminels. Leur organisation comprend également une chaîne complexe de fournisseurs de produits et de services, ainsi que la gestion de l'espace dédié à la vente des logs exfiltrés.
Un recrutement via les réseaux sociaux
Le mode de recrutement est relativement simple : les individus trouvent, généralement via des forums clandestins, des groupes de trafiquants et contactent les administrateurs. Ceux-ci les renvoient à un bot Telegram d'enregistrement dans lequel ils doivent généralement répondre à un petit formulaire, en remplissant des champs tels que l'âge, l'expérience antérieure, l'expérience du montage vidéo, le nombre de logs récupérés auprès d'autres groupes (s'ils ont été dans d'autres groupes), etc. Une fois ce formulaire rempli et examiné par un administrateur, la personne fait désormais partie du groupe. Normalement, elle peut tout gérer à partir du bot,Selon le rapport, les Traffers ont engendré une nouvelle dynamique dans l'écosystème du vol d'identifiants. Le phénomène a pris une ampleur telle que les forums clandestins de cybercriminels, tels que le forum d'ingénierie sociale Zelenka, se sont adaptés et proposent, depuis le début de l'année 2021, des sections dédiées aux Traffers. D'autres forums ont des sections similaires ou des fils de discussion consacrés à ce sujet.
Telegram, la place de marché des Traffers
Toutefois, ces sections ne servent pas de place de marché pour les informations d'identification volées. Elles servent plutôt à faire de la publicité pour les équipes, en indiquant généralement les logiciels malveillants qu'elles utilisent et les taux de paiement qu'elles proposent, afin d'attirer des Traffers. De fait, l'émergence des canaux Telegram en tant que places de marché dédiées aux informations d'identification volées est également une adaptation de l'écosystème du vol d'informations d'identification.De plus, avec la tendance croissante du modèle "as-a-service", l'information est progressivement devenue une marchandise, plutôt que d'être partagée gratuitement dans les forums. Ce phénomène, associé à l'émergence des IAB et à la prolifération des groupes de rançongiciels prêts à payer pour ce type d'informations, est également à l'origine de l'expansion et de la maturation des méthodes de distribution des familles de voleurs. « Les cybercriminels professionnalisés sont désormais prêts à payer pour les outils car ils préfèrent la qualité, la stabilité, davantage de fonctionnalités et une assistance technique plutôt que d'utiliser des outils open source ou bon marché qui risquent de tomber en panne et qui ne sont pas aussi simples et confortables à utiliser », explique le rapport.
Le marché de la criminalité cyber, comme dans toute autre secteur économique traditionnelle, évolue constamment pour répondre à la demande de ses consommateurs. La nouvelle dynamique née de la consolidation du modèle des trafiquants entraîne des changements constants dans l'ensemble de l'écosystème souterrain de la cybercriminalité. La professionnalisation des prestataires de services, la création de nouveaux services, l'amélioration des produits, l'augmentation de leurs prix sont autant de conséquences de la nouvelle demande créée par les trafiquants et leur activité répréhensible.
