LMi-MAG 13 juin - Flipbook - Page 52
FOCUS
Sécurité
RADIOGRAPHIE
DE L’ORGANISATION
DES CYBERCRIMINELS
Les groupes responsables des attaques en ligne se spécialisent en tant que développeurs
de logiciels malveillants, courtiers en accès initial, fournisseurs de ransomware-as-a-service,
courtiers en données et bien d’autres rôles. Désormais bien établies, ces bandes sont devenues
de véritables entités criminelles difficiles à combattre.
N
Ax Sharma, IDG NS (adapté par Celia Séramour)
ous sommes à un moment où les
cybercriminels, y compris les gangs
de ransomware, se sont établis
comme des entreprises illicites
organisées plutôt que comme des
opérations de piratage menées par
une seule personne. De plus en plus
de groupes de ransomware ont vu le
jour et les groupes existants continuent de prospérer en
réussissant à pénétrer dans des entreprises importantes.
Le succès croissant des gangs de ransomware, des
groupes d’extorsion et des attaquants DDoS n’est en
rien accidentel. Derrière un nom de groupe fantaisiste
se cache une structure organisée comprenant des cybercriminels à différents niveaux qui travaillent en
synchronisation pour atteindre l’objectif final, chacun
recevant sa part. Quels sont les nouveaux rôles clés des
cybercriminels ?
Les courtiers d’accès initial
Les courtiers d’accès initial (Initial Access Broker ou IAB)
désignent la catégorie de ransomware qui vendent l’accès
aux réseaux d’entreprise à un acheteur viable. Ils le font
par l’intermédiaire de marchés de violations de données,
de forums, de canaux fermés d’applications de messagerie et de groupes de discussion. Cependant, les IAB n’effectuent pas nécessairement des activités dommageables
52 / juin 2022
ultérieures telles que l’exfiltration, le chiffrement et la
suppression des données. C’est à l’acheteur de décider
comment il compte abuser de cet accès – que ce soit pour
voler des secrets commerciaux, déployer des ransomware,
installer des logiciels espions ou faire fuiter des données.
« Par le passé, les courtiers d’accès initial vendaient principalement des accès d’entreprise à des criminels ayant
l’intention de détruire les données d’une entreprise, ou
de voler des IP, ou des données financières des entreprises compromises », explique Ben Richardson, ingénieur logiciel senior chez Cloud Radius, un fournisseur
d’authentification sans mot de passe pour le cloud. « Ils
n’étaient pas si demandés à l’époque, principalement
parce que le volume des attaques était faible. Ils étaient
normalement engagés par des concurrents commerciaux
pour l’espionnage et le vol. » Ben Richardson affirme que
l’ère des ransomware a provoqué une « augmentation exponentielle » de la demande d’IAB. Ces courtiers trouvent
maintenant de nouveaux débouchés auprès des gangs de
ransomware qui engagent des IAB pour compromettre les
entreprises cibles afin que le gang puisse commencer à
chiffrer les fichiers sensibles et à détruire les sauvegardes.
Le XaaS
Dans le contexte actuel, l’expression « x-as-a-service » se
matérialise souvent par des plateformes de ransomwareas-a-service (RaaS) ou de malware-as-a-service (MaaS)