Banalisation, marchandisation, externalisation… Le Cybercrime-as-a-Service s’est professionnalisé et, aujourd’hui, s’industrialise. Analyse d’un phénomène avec Fortinet, Sophos et Trend Micro.

Les temps changent, le Cybercrime-as-a-Service s’industrialise.« On imagine encore un loup solitaire alors que le cybercriminel touche un salaire régulier, des primes et qu’il participe à un programme de parrainage d’employés, certains même sont des fonctionnaires. Aujourd’hui, des groupes de cybercriminels hautement organisés dirigent des entreprises de services ! », observe Trend Micro.

Le paysage des menaces laisse place à de nombreux acteurs différents. Alors que les cybercriminels rencontrent un vrai succès avec le Ransomware-as-a-Service, de nouveaux vecteurs d’attaque devraient émerger, sous forme de services fournis depuis le dark web, encourageant ainsi la croissance du Cybercrime-as-a-Service.

« Au-delà de la vente de ransomwares et d’offres de Malware-as-a-Service, de nouveaux services sont proposés à la carte, constate Fortinet. Le modèle du CaaS séduit les cybercriminels. Ces derniers, en fonction de leur niveau de compétences, sauront tirer parti d’offres clés en main pour définir leurs plans d’attaque, sans investissement initial en temps et en ressources. De leur côté, les cybercriminels aguerris pourront élaborer et commercialiser des kits d’attaques sous forme de services, s’octroyant ainsi de nouvelles opportunités commerciales simples, rapides et récurrentes. »

Le Cybercrime-as-a-Service en mode abonnement récurrent

En 2022, confirme Sophos, le modèle « as-a-service » s’est sensiblement développé. « Il ne s’agit pas seulement du tarif habituel, comme les logiciels malveillants, les escroqueries et les kits de phishing à vendre. Les cybercriminels de rang supérieur vendent désormais des outils et des capacités qui étaient autrefois uniquement entre les mains de certains des attaquants les plus sophistiqués en tant que services à d’autres acteurs. »

D’ailleurs, estime encore Fortinet, il est envisageable que des offres CaaS soient proposées sous forme d’abonnement récurrent. De plus, les cybercriminels devraient commencer à tirer parti de nouveaux vecteurs d’attaque comme les contenus deepfake. Ces vidéos et enregistrements audio truqués, ainsi que les algorithmes IA associés, seront disponibles de manière plus large à l’achat. 

« L’année dernière, nous avons vu des publicités pour OPSEC-as-a-service où les vendeurs proposaient d’aider les attaquants à cacher les infections Cobalt Strike, commente Sophos. Nous avons vu un service de numérisation, qui donne aux acheteurs l’accès à des outils commerciaux légitimes comme Metasploit, afin qu’ils puissent trouver puis exploiter les vulnérabilités… »

Banalisation, marchandisation

La banalisation de presque tous les composants de la cybercriminalité a un impact sur le paysage des menaces et ouvre des opportunités pour tout type d’attaquant avec tout type de niveau de compétence. Rien d’étonnant, à en croire les éditeurs spécialisés en cybersécurité. Avec l’expansion de l’économie en mode « as-a-service », les marchés souterrains de la cybercriminalité sont également de plus en plus « marchandisés » ; ils fonctionnent comme des entreprises grand public, assure Sophos.

« Les vendeurs de cybercriminalité ne se contentent pas de faire la publicité de leurs services, ils répertorient également des offres d’emploi pour recruter des attaquants aux compétences distinctes. Certains marchés ont désormais des pages dédiées à l’aide et au recrutement de personnel, tandis que les demandeurs d’emploi publient des résumés de leurs compétences et qualifications. »

Les ransomwares, toujours très rentables

C’est réellement un changement de paradigme. Les premiers opérateurs de ransomwares étaient plutôt limités dans ce qu’ils pouvaient faire parce que leurs opérations étaient centralisées ; les membres du groupe exécutaient tous les aspects d’une attaque. Mais à mesure que les ransomwares devenaient extrêmement rentables, ils ont cherché des moyens d’augmenter leurs productions. De là, l’externalisation d’une partie de leurs opérations, créant une infrastructure complète pour prendre en charge les ransomwares. Maintenant, d’autres cybercriminels ont pris exemple sur le succès de cette infrastructure et suivent le mouvement.

En effet, à mesure que l’infrastructure de la cybercriminalité s’est développée, les ransomwares sont restés très populaires et très rentables, déclare Sophos. Au cours de l’année écoulée, les opérateurs de ransomwares ont travaillé à l’expansion de leur service d’attaque potentiel en ciblant des plates-formes autres que Windows tout en adoptant de nouveaux langages comme Rust et Go pour éviter la détection. Certains groupes, notamment Lockbit 3.0, ont diversifié leurs opérations et créé des moyens plus innovants d’extorquer les victimes.

Détectives du dark web

L’évolution économique de l’underground a non seulement encouragé la croissance des ransomwares et de l’industrie en tant que service, mais a également augmenté la demande de vol d’informations d’identification, selon Sophos.

Le cybercrime n’a jamais été aussi bien organisé, estime Fortinet. ​Alors que les attaques deviennent plus ciblées, leurs auteurs feront appel à des « détectives » sur le dark web pour recueillir des renseignements sur une cible particulière avant de lancer l’attaque. Les offres de Recognition-as-a-Service devraient ainsi fournir des informations de valeur : profil et architecture de sécurité d’une entreprise, identité des membres clés des équipes de cybersécurité, parc des serveurs de l’entreprise, vulnérabilités externes connues, identifiants piratés proposés à la vente et davantage. Autant d’informations qui permettront aux cybercriminels d’affiner le ciblage et l’efficacité de leur attaque. Face aux attaques optimisées par le Cybercrime-as-a-Srrvice, il devient primordial de pouvoir neutraliser les assaillants en amont, dès la phase de reconnaissance.