En analysant les tendances de 2024, on constate clairement que le cybercrime s’est transformé en une industrie hautement organisée. Les acteurs de l’ombre du monde cyber ont établi des plateformes transactionnelles, similaires à des marchés en ligne, où des opérations et outils malicieux sont vendus aussi simplement que des articles du quotidien sur des sites de e-commerce comme Amazon.
L’essor du concept de cybercrime-as-a-service ou services de cybercriminalité (CaaS) se fera de plus en plus sentir en 2024, avec la transformation des menaces cyber en services disponibles sur abonnement ou à la demande. Cette méthode rend les outils de cyberattaque accessibles à tous, même à ceux ayant des compétences techniques moindres, pour mener des attaques complexes.
Auparavant, les cybercriminels devaient avoir des compétences techniques avancées pour créer et utiliser des logiciels malveillants. Désormais, le modèle CaaS offre des outils et services clés en main, conviviaux et destinés à des fins malicieuses précises. Ces services ne connaissent pas de frontières, permettant à des criminels du monde entier d’y accéder, abaissant drastiquement le coût de faire des affaires dans l’univers de la cybercriminalité.
Face à cette réalité, les entreprises sont confrontées à un spectre de menaces élargi, car les cybercriminels exploitent ces coffres d’outils pour automatiser et étendre leurs attaques, décuplant ainsi leur portée, leur impact et leurs sources de revenus.
L’exemple d’Evil Proxy
Evil Proxy est un exemple concret. C’est un service d’hammeçonnage qui utilise des techniques de proxy inversé. Commercialisé sur le dark web, cet outil sert à déjouer les systèmes d’authentification multifacteurs (MFA) en capturant les jetons d’authentification. Il s’interpose entre l’utilisateur ciblé et le site web légitime, saisissant les données d’identification au moment où l’utilisateur se connecte via une page contrefaite. Ainsi, il fournit aux cybercriminels les moyens de pénétrer dans les comptes protégés par MFA. Votre compte Microsoft 365 serait un bon exemple ici.
Evil Proxy a simplifié la pratique d’hameçonnage pour les cybercriminels moins sophistiqués. Il permet la mise en place rapide d’attaques, grâce à son interface utilisateur intuitive, ses ressources éducatives détaillées, et sa bibliothèque étendue de modèles d’hammeçonnage. Cette facilité d’utilisation et les coûts abordables ont permis à des criminels moins qualifiés d’adopter des méthodes habituellement réservées à des groupes de criminels mieux équipés et plus sophistiqués.
Un inventaire varié
L’hammeçonnage n’est pas le seul service disponible pour faciliter la criminalité en ligne. D’autres outils criminels sont aussi commercialisés sur divers forums spécialisés. Voici une liste non exhaustive des services malveillants que vous pouvez retrouver en ligne.
Le «credential stuffing» implique l’utilisation de combinaisons d’identifiants (nom d’utilisateur et mot de passe) déjà compromis par des cybercriminels pour tenter des accès non autorisés sur divers sites Internet. Cette méthode exploite la tendance des utilisateurs à réutiliser leurs mots de passe sur plusieurs plateformes. Les cybercriminels utilisent des processus automatisés pour générer des connexions en masse, dans le but de trouver des identifiants valides et d’infiltrer des comptes d’utilisateurs sur plusieurs services web. Un exemple pertinent ici serait la fuite de données survenue chez LinkedIn. Si vos identifiants LinkedIn étaient compromis, un cybercriminel pourrait potentiellement les utiliser pour accéder à d’autres services en ligne que vous utilisez.
Le service de «carding» fait référence à des activités illégales où les criminels utilisent des numéros de cartes de crédit volés via des exfiltrations de données. Le service peut inclure la vente d’informations de cartes volées, l’assistance pour utiliser ces données dans des transactions frauduleuses.
Les exploit-kits-as-a-service sont des services de cybercriminalité qui fournissent des outils automatisés pour exploiter les vulnérabilités dans les systèmes informatiques. Ces kits sont loués aux attaquants qui n’ont pas nécessairement les compétences techniques pour développer leurs propres exploits. Le kit permet de cibler et d’attaquer des systèmes en exploitant des vulnérabilités de sécurité connues.
Le drainer-as-a-service (DaaS) est un modèle de service malveillant utilisé dans le vol de cryptomonnaies. Il s’appuie sur des logiciels connus sous le nom de «crypto-drainers», fournis via des plateformes DaaS, qui permettent de transférer ou de rediriger les cryptomonnaies d’un portefeuille de victimes vers celui d’un attaquant. Malgré la fermeture de groupes comme Inferno Drainer, qui a aidé à voler plus de 80 millions de dollars en cryptomonnaie, d’autres comme Angel Drainer, continuent leurs opérations. Ces «draineurs de portefeuille» prennent un pourcentage du montant volé auprès des criminels en échange de la fourniture de scripts de «nettoyage» de portefeuille.
L’ingénierie sociale «as a service» désigne la pratique où des acteurs malveillants offrent leurs compétences en manipulation psychologique comme service payant, généralement via le dark web. Ces services comprennent des techniques telles que l’hammeçonnage et la création de faux profils pour obtenir des informations sensibles ou accéder à des systèmes de manière illégale.
Le ransomware-as-a-service (RaaS), comme le malware-as-a-service (MaaS) est un modèle de service où les développeurs de ransomware/malware mettent leur logiciel malveillant à disposition d’autres criminels, souvent via des abonnements ou des commissions sur les rançons payées. Il en est de même pour les services de distributed-denial-of-service-as-a-service (DDoSaaS).
L’impact sur nos entreprises
La montée des cybercrimes-as-a-service (CaaS) a un impact significatif sur les entreprises et leurs équipes de cybersécurité. L’accès simple et rapide à des outils de cyberattaque sophistiqués signifie que le risque d’incident de sécurité sera de plus en plus élevé.
Autrefois, une attaque complexe nécessitait des compétences poussées, du temps et des ressources compétentes. Ces attaques ciblaient principalement les grandes entreprises bien nanties. Les attaquants voulaient avoir un retour significatif sur l’investissement. Aujourd’hui, la même attaque avancée peut être acquise pour une somme modique sur des plateformes clandestines. Cette accessibilité accrue aux méthodes d’attaque sophistiquées intensifie la fréquence et la diversité des menaces auxquelles les entreprises, même les plus modestes, sont confrontées.
Comment se protéger?
Pour les équipes de cybersécurité, la réalité des cybercrimes-as-a-service (CaaS) exige une vigilance soutenue et une capacité d’adaptation rapide. Elles se doivent d’anticiper et de contrer les attaques, tout en s’ajustant en continu aux changements des tactiques, techniques et procédures (TTP) employées par les cybercriminels. Cette situation génère une pression accrue pour une surveillance de sécurité constante, nécessite des investissements dans des technologies de défense avancées pour une sécurité multicouche, et impose une formation continue pour rester à l’avant-garde de la prévention des menaces.
Face à la prolifération des services de cybercriminalité (CaaS), les entreprises sont contraintes d’élaborer une stratégie de cybersécurité plus réfléchie, qui intègre des mesures de défense proactive et réactive, tout en mobilisant chaque membre de l’organisation dans une démarche de sécurité globale. Cela implique de développer une culture de la sécurité parmi tous les employés et de maintenir une vigilance collective afin de minimiser en continu les risques d’exposition aux cyberattaques. En somme, l’essor des CaaS incite les entreprises à considérer la cybersécurité comme un aspect crucial de leur fonctionnement et de leur pérennité et non plus comme une simple assurance.