La cybercriminalité est désormais une industrie à part entière

La cybercriminalité est désormais une industrie à part entière

18/05/2021 Non Par Arnaud Lefebvre

Le piratage d’un gazoduc américain est la preuve que la cybercriminalité est désormais une industrie majeure avec ses propres marchés commerciaux et même la RSE, avance John Naughton, professeur de compréhension publique de la technologie à l’Open University, dans The Guardian.  

Le 7 mai dernier, Colonial Pipeline, l’opérateur du gazoduc qui transporte 45% de l’essence et du carburéacteur de la côte est des États-Unis du Texas à New York, a annoncé avoir été piraté. Il s’est avéré que l’attaque contre Colonial a été perpétrée par une équipe nommée DarkSide, groupe spécialisé dans les ransomwares.

Qui est DarkSide ?

Selon Intel 471, une société de sécurité spécialisée dans l’étude de l’écosystème cybercriminel, DarkSide a été repéré pour la première fois en novembre 2020 sur un forum de hackers russes.  Ce groupe de pirates promouvait à l’époque un service de ransomwares pour ses partenaires. Il proposait une plateforme que les cybercriminels « approuvés » pourraient utiliser pour infecter des entreprises via des ransomwares et négocier ensuite des paiements avec les victimes.

« Nous sommes un nouveau produit sur le marché », affirme DarkSide. « Mais cela ne veut pas dire que nous n’avons aucune expérience et que nous venons de nulle part. Nous avons reçu des millions de dollars de bénéfices grâce à une association avec d’autres crypto-verrouilleurs bien connus.  Nous avons créé DarkSide parce que nous n’avons pas été en mesure de trouver le produit qui nous convenait parfaitement. C’est maintenant chose faite. »

Peu de temps après cette déclaration, le logiciel de Darkside s’est avéré être à l’origine de plusieurs attaques de ransomwares contre des fabricants et des cabinets juridiques en Europe et aux États-Unis.

Nouvelles fonctionnalités

Toujours selon Intel 471, en mars, DarkSide a développé plusieurs nouvelles fonctionnalités afin d’attirer de nouveaux affiliés. Celles-ci comprenaient des versions pour cibler les systèmes Microsoft Windows et Linux et des paramètres de cryptage améliorés. Ces nouvelles options incluaient également une fonctionnalité complète et intégrée directement au panneau de gestion afin de permettre d’organiser des appels pour pousser les victimes à payer des rançons ainsi qu’un moyen de lancer un système d’attaques en déni de service distribué (DDoS).

Il est intéressant de souligner la référence au « panneau de gestion ». Dans les progiciels classiques, cela s’appellerait un « tableau de bord », un outil visuel permettant aux responsables non techniques d’exécuter un programme complexe sans rien connaître du code. Le panel semble également fournir des scripts pour mener des négociations avec les victimes.

Intel 471 a surveillé l’une de ces conversations.

La voici :

« C’est beaucoup d’argent », écrit la victime. « Ma direction a besoin d’une meilleure compréhension des données que vous avez pu prendre. Pouvez-vous prouver que vous disposez de nos données ? »

Réponse : « Oui, on vous fournira un échantillon. »

La victime poursuit : « Lorsque vous recevez le paiement, vous ne publierez pas l’attaque ou ne vendrez pas de données exfiltrées ? »

Réponse : « Bien sûr que non, vous aurez accès à un serveur contenant des données et vous le supprimerez vous-même. Nous pouvons également vous fournir un rapport pentesting [test de pénétration] indiquant comment vous avez été violé et ce que vous devez améliorer. »

Sur ces marchés de ransomwares, les commerçants semblent soucieux d’établir une réputation de fiabilité et de qualité, explique Naughton.

Négociation commerciale conventionnelle

« Il s’agit du genre de dialogue que vous verriez dans une négociation commerciale conventionnelle. Ce que cela montre, c’est ce que l’expert en sécurité Ross Anderson souligne depuis des années : la cybercriminalité a été industrialisée et l’on peut l’analyser en utilisant les méthodes et les concepts économiques que l’on utiliserait si l’on étudiait un secteur d’activité en plein essor », explique Naughton.

En ce sens, le discours public sur la cybercriminalité et ses praticiens est en retard. Comme Ross et ses collègues l’ont montré, les criminels sont des acteurs rationnels et non des hackers solitaires avec une mauvaise hygiène et un penchant pour la pizza.

Ils considèrent ce qu’ils font comme une activité à faible risque avec des marges bénéficiaires très élevées. Et ils opèrent dans un monde en réseau dans lequel même les grandes et riches entreprises ne prennent toujours pas au sérieux la sécurité informatique. L’importance du piratage de Colonial Pipeline est la confirmation que la cybercriminalité est désormais une nouvelle industrie majeure.

eBay pour les escrocs

« Il y a de nombreuses années, j’ai été témoin pour la première fois de ce monde souterrain lorsqu’un officier de police m’a emmené en faire une visite virtuelle. Nous avons examiné les marchés en ligne sur lesquels les données personnelles volées étaient échangées et les différents prix auxquels divers « produits » étaient achetés et vendus. Cela ressemblait à eBay pour les escrocs. Et le plus frappant était que sur ces marchés, les commerçants semblaient aussi soucieux que vous ou moi le serions d’établir une réputation de fiabilité et de qualité », explique le chroniqueur.

« Dans certains cas, il y avait même des systèmes de notation par étoiles comme sur Uber ou, d’ailleurs, sur eBay. Il peut y avoir de l’honneur parmi les voleurs, comme le dit le proverbe, mais ils s’inquiètent toujours de leur réputation en ligne. Et l’affirmation de DarkSide selon laquelle le groupe a parfois fait don d’une partie de ses bénéfices à des œuvres caritatives suggère une nouvelle interprétation intéressante de la « responsabilité d’entreprise ». Il est temps que nous nous rendions compte de cette nouvelle réalité », conclut John Naughton.