Rechercher un rapport, une publication, un expert...
L'Institut Montaigne propose une plateforme d'Expressions consacrée au débat et à l’actualité. Il offre un espace de décryptages et de dialogues pour valoriser le débat contradictoire et l'émergence de voix nouvelles.
15/03/2021

Cybercrime : plongée dans l'écosystème

Cybercrime : plongée dans l'écosystème
 Gérôme Billois
Auteur
Partner cybersécurité et confiance numérique chez Wavestone
 Marwan Lahoud
Auteur
Associé chez Messier & associés (Groupe Mediobanca)

Dans notre précédent billet, nous présentions les enjeux du ransomware. Ces attaques ont connu une croissance exponentielle grâce à la structuration d’un véritable écosystème cybercriminel entremêlant les marchés noirs d’Internet, des outils d’attaques et des plateformes de blanchiment d’argent. Afin de lutter contre ces menaces, il est nécessaire de comprendre comment cet écosystème s’articule, et la manière dont il génère des profits. C’est l’objectif de cette analyse.


Nous présentons ici un scénario réaliste de préparation et de lancement d’une cyberattaque par un groupe de criminels souhaitant cibler une vingtaine d’entreprises. Les chiffres mentionnés sont issus d’observations de terrain de Wavestone ainsi que de multiples sources d’analyses - publiques comme privées : l'Agence nationale de la sécurité des systèmes d’information, le National Cyber Security Center, Symantec, McAfee, Talos (Cisco), X-Force (IBM), Microsoft Security Response Center, FireEye, Intel471 ou encore ChainAnalysis.

Nos hypothèses ont été testées et validées par le groupe de travail du rapport de l’Institut Montaigne, Cybermenace : avis de tempête.


Trouver une cible et monter une infrastructure

Toute attaque nécessite un premier accès au système d’information de la cible. Concrètement, l’objectif du cybercriminel est d’avoir le contrôle d’au moins un ordinateur connecté au réseau de l’organisation. Pour répondre à ce besoin, des groupes spécialisés dans la découverte et la revente d’accès aux réseaux d’organisations publiques ou privées ont fait leur apparition sur les marchés clandestins. La vente s’effectue généralement via un service tiers (forum en ligne ou sur le dark web) afin d’éviter tout contact direct entre les criminels et les revendeurs d’accès.

Ces revendeurs réalisent des campagnes d’hameçonnage (des courriels frauduleux) ou des scans massifs des réseaux, pour trouver des failles dans les sites web ou les systèmes d’accès distants. Une fois les vulnérabilités identifiées, ils s’introduisent dans les machines ciblées pour mettre en place des accès à distance qui pourront être utilisés dans la durée. Ces accès sont ensuite revendus au plus offrant.

Il est courant de retrouver sur le marché noir des accès datant de six mois et pour des prix allant de quelques centaines à plus de 150,000 dollars. Le montant varie en fonction de la qualité des accès. Il sera élevé si les accès permettent de s’infiltrer sur les réseaux les plus critiques au sein d’organisations susceptibles de payer des rançons élevées ou de dérober des données particulièrement sensibles et confidentielles.


Dans le cadre de notre simulation, notre groupe de cybercriminels choisit d’acquérir une vingtaine d’accès distants de bonne qualité pour environ 60,000 $.


Pour conduire les attaques, les cybercriminels ont ensuite besoin de serveurs - anonymes et protégés - pour héberger leurs outils d’attaques et masquer leurs traces, notamment si des autorités sont sur leur piste. Pour répondre à ce besoin, il existe de nombreux hébergeurs peu regardant sur les activités de leurs clients, appelés "bulletproof hosting services". On peut en distinguer deux catégories : ceux qui possèdent et opèrent leurs propres infrastructures physiques, et ceux qui détournent et revendent des offres de fournisseurs classiques, tout en camouflant les activités de leurs clients finaux, les cybercriminels.


Dans le cadre de notre simulation, notre groupe de cybercriminels choisit d’acquérir un hébergement sécurisé et un VPN pour garantir son anonymat, pour environ 1,200 $ par mois.


S’affilier à un cartel et réussir l’attaque

Des groupes spécialisés dans la découverte et la revente d’accès aux réseaux d’organisations publiques ou privées ont fait leur apparition sur les marchés clandestins. 

Un rapide tour d’horizon des dernières attaques par ransomware montre l’augmentation massive du recours à des plateformes de Ransomware-as-a-Service. Ces cartels du cybercrime fournissent à leurs affiliés des outils d’attaque ainsi que divers services (de négociation, de récupération des paiements…). Ils garantissent trois choses : que ces outils ne seront pas détectés par les mécanismes de protection standards ; que le chiffrement des données sera efficace ; et que les victimes pourront, après paiement de la rançon, retrouver leurs données. Ils assurent également un support technique. Pour arriver à ce niveau de service, les plateformes disposent d’effectifs dédiés. Le groupe REvil mentionne par exemple une équipe de 10 développeurs.

Contre ces outils et services "de qualité", les plateformes cybercriminelles prélèvent une partie des montants rançonnés en guise de paiement. Les rémunérations prélevées par ces plateformes sont variables : 20 % pour Netwalker et jusqu’à 70 % pour d’autres groupes


Dans le cadre de notre simulation, notre groupe de cybercriminels choisit de s’affilier au cartel Egregor, qui prend une commission d’environ 30 % sur les attaques réussies.


L’externalisation d’une partie des cyberattaques a permis à des cybercriminels moins expérimentés de mener des attaques plus complexes et ambitieuses et de démultiplier les gains pour les plateformes. Ainsi, la conduite de l’attaque est prise en charge par une équipe de cybercriminels affiliés, tout en étant fortement assistée par le cartel de Ransomware-as-a-Service.

Lorsqu’un cybercriminel devient affilié à une telle plateforme, sa tâche est facilitée. Il ne s’occupe pas de développer un rançongiciel et une interface permettant de piloter l’attaque, ni de gérer la négociation et la collecte de la rançon. Toutefois, ces affiliés sont chargés de l’intrusion - via les accès achetés précédemment -, du vol de données permettant de faciliter la négociation et du déploiement du ransomware.

Les relations sur ce type de plateforme sont avant tout fondées sur la confiance entre le vendeur (la plateforme) et l’acheteur (le cybercriminel qui va conduire l’attaque). Les cybercriminels affiliés doivent d’abord faire leurs preuves sur des attaques basiques, avant de gagner la confiance nécessaire pour mener des opérations plus ambitieuses.


Dans le cadre de notre simulation, nous prenons pour hypothèse que, sur les 20 entreprises attaquées par les criminels, une grande partie des attaques réussiront. Nous estimons que seulement 4 victimes (20 %) paieront finalement la rançon, négociée 20 % moins chère en moyenne.


Masquer ses traces et blanchir l’argent

Une fois la cyberattaque menée à bien, les cybercriminels ont en leur possession une rançon payée en cryptomonnaies, la plupart du temps en Bitcoins. Même s’il existe des cryptomonnaies plus confidentielles, comme Monero, la popularité du Bitcoin en fait un choix privilégié encore aujourd’hui.

Dans un premier temps, les cybercriminels doivent s’assurer que la rançon n’est pas tracée pour remonter jusqu’à eux. Pour cela, ils font appel à des Bitcoins mixers, qui permettent de mélanger les Bitcoins de la rançon avec des Bitcoins "propres". Ces derniers appartiennent à des personnes faisant appel à ces mêmes plateformes pour conserver leur anonymat lors de transactions en Bitcoins.

La cyberattaque menée à bien, les cybercriminels ont en leur possession une rançon payée en cryptomonnaies. 


Dans le cadre de notre simulation, le groupe de cybercriminels s’est affilié au cartel Egregor, qui demande des paiements en Bitcoins. Nous faisons l’hypothèse qu’ils utilisent des services de Bitcoin mixing pour masquer les traces des flux financiers. Ceci leur coûte 0,5 % des sommes blanchies.


Enfin, les cybercriminels doivent trouver un moyen pour blanchir l’argent et le retrouver physiquement dans leur porte-monnaie. Pour ce faire, ils font par exemple appel à des groupes spécialisés dans le blanchiment ayant recours à des passeurs d’argent, ou "money mules", pour sortir l’argent du pays et le transformer en espèces. Pour recruter les passeurs, les cybercriminels abusent de la confiance de personnes relativement naïves à travers des arnaques, telles que des fausses offres d’emploi, ou encore en faisant du chantage.

D’après le spécialiste en cybersécurité Brian Krebs, le coût du blanchiment est estimé à 50 % des profits générés et la plupart du temps externalisés.


Dans le cadre de notre simulation, le groupe de cybercriminels a fait appel à des groupes spécialisés pour le blanchiment et la gestion des "money mules". Ces services ont un coût proche des 50 % des sommes blanchies.


Quelle est donc la rentabilité d’une campagne d’attaques sur une vingtaine de cibles par un groupe d’affiliés à un cartel du ransomware ?

Cybercrime : plongée dans l'écosystème

La "plateformisation" du cybercrime donne aux attaquants des moyens financiers impressionnants et leur permet une croissance exponentielle. Récemment, le cartel REvil (aussi connu sous le nom de Sodinokibi) a déclaré gagner au minimum 100,000,000 $ par an, avec des gains pour ses affiliés variant entre 30,000 $ et 8,000,000 $ pour chaque attaque menée, en fonction de son ampleur. Le rapport 2020 de X-Force Threat Intelligence (IBM) estime de son côté que ce cartel a réalisé au moins 123 millions de dollars de bénéfices en 2020, volant environ 21,6 téraoctets de données. L’exemple de Ryuk est aussi frappant. La plateforme, créée mi-2018, a collecté 3,000,000 $ dans sa première année d’existence d’après les analyses du FBI, puis 60,000,000 $ dans la deuxième, pour atteindre 150,000,000 $ en cumulé fin 2020.


Dans le cadre de notre simulation, nous calculons une rentabilité entre 250 % et quasiment 1000 % pour un groupe de cybercriminels chargé de conduire l’attaque. Ces gains sont encore plus importants pour les plateformes consolidant les rançons issues de multiples attaques.

Ces chiffres peuvent varier très fortement en fonction des plateformes utilisées, du niveau d’expertise et d’ancienneté des groupes d’affiliés, ou des demandes de paiements de rançons.


Aujourd’hui, cela donne aux groupes cybercriminels des moyens humains et technologiques proches de ceux des départements de cybersécurité offensive des États, leur permettant de croître considérablement. Sans être en mesure de mieux arrêter les cybercriminels, il semble impossible de ralentir le phénomène. Toutefois, les opérations policières internationales du début de l’année 2021 redonnent espoir, prouvant que des actions judiciaires coordonnées peuvent être entreprises pour arrêter les cybercriminels.

 

Comment arriver à juguler largement ce phénomène ? Nous explorerons des pistes de réflexions dans le troisième et dernier billet de notre série.

Copyright : DAMIEN MEYER / AFP

Recevez chaque semaine l’actualité de l’Institut Montaigne
Je m'abonne