Le rapport annuel sur les menaces de Sophos pour 2023 a été publié. Basé sur une combinaison de télémétrie, de données de réponse aux incidents et de collecte d’intelligence sur les menaces, il présente un aperçu du paysage des menaces actuel et examine les tendances observées dans les activités malveillantes. L’une des tendances les plus marquantes est l’évolution continue des activités cybercriminelles matures qui ressemblent de plus en plus aux tendances des logiciels légitimes et des services numériques.
Proliferation de « Crime-as-a-Service »
Les opérateurs de ransomwares ont adopté massivement le modèle « as-a-service » pour leurs activités cybercriminelles. En 2022, ce modèle a été adopté de manière plus générale dans l’univers de la cybercriminalité, avec des marketplaces numériques underground proposant pratiquement tous les éléments de la boîte à outils du cybercrime à ceux qui sont prêts à payer pour les obtenir : ciblage et compromission initiale des victimes, évasion et sécurité opérationnelle, et diffusion de malwares, entre autres.
Disponibilité d’outils d’attaque professionnels
Les outils d’attaque professionnels sont également largement disponibles, sous forme de licences « craquées » ou contournées. Cobalt Strike, destiné à être utilisé par les professionnels de la sécurité pour émuler des attaquants avancés, est désormais impliqué dans la majorité des incidents de ransomware. Brute Ratel, un autre outil d’exploitation avancé présenté comme un remplaçant de Cobalt Strike, est également largement disponible et a été vu dans quelques incidents de ransomware.
Maturité croissante des activités opérationnelles des groupes de ransomwares
Les activités opérationnelles des groupes de ransomwares continuent également de gagner en maturité. Par exemple, LockBit 3.0 propose désormais un programme de bug bounty pour tester ses malwares via le crowdsourcing et réalise des études de marché au sein de la communauté cybercriminelle afin d’améliorer les activités opérationnelles du groupe. D’autres groupes ont proposé des programmes d’abonnement pour accéder à leurs données volées.
Division et rupture au sein des groupes de ransomwares de langue russe
Tous ces changements ont eu lieu dans le contexte de la guerre en Ukraine, qui a conduit à des divisions et des ruptures au sein des groupes cybercriminels de langue russe, avec pour résultat le doxing et les violations de données de Conti et d’autres groupes de ransomwares. Ce contexte particulier a également généré une vague de nouvelles fraudes, utilisant l’appel de fonds du gouvernement ukrainien comme leurre pour lancer une vague d’escroqueries à la cryptomonnaie ainsi que d’autres fraudes financières.
Les différents types de cybercriminalité proposés en tant que service
Le modèle « Crime-as-a-Service » est en train de se développer sur les marketplaces matures de l’univers de la cybercriminalité. Il permet aux cybercriminels de louer tous les éléments de leur « boîte à outils » : ciblage et compromission initiale de victimes, évasion et sécurité opérationnelles, diffusion de malwares, etc. Le rapport Sophos 2023 sur les menaces décrit neuf services proposés par les cybercriminels :
1- Accès as-a-service : permet d’accéder en masse à des comptes et systèmes compromis grâce à des identifiants RDP, VPN, shells web, etc.
2- Malwares as-a-service : facilite la diffusion de logiciels malveillants dans des pays ou secteurs spécifiques grâce à des attaques « point d’eau » combinées à des listes d’accès as-a-service et autres vulnérabilités
3- Phishing as-a-service : offre des services de bout en bout pour les sites clonés, l’hébergement, les emails pour contourner les filtres anti-spam, etc.
4- OPSEC as-a-service : services groupés pour dissimuler les infections par Cobalt Strike et minimiser le risque de détection.
5- Chiffrement as-a-service : utilisation de logiciels malveillants chiffrés pour contourner la détection en échange d’un achat ponctuel ou d’un abonnement.
6- Scamming as-a-service : kits et services d’escroqueries pour se faire passer pour des ingénieurs du support, notamment dans le domaine de la cryptomonnaie.
7- Vishing as-a-service : location de systèmes vocaux pour des appels où les victimes parlent à un robot plutôt qu’à un humain.
8- Spamming as-a-service : infrastructure pour créer ou gérer des services de spamming en masse par SMS, courrier électronique, etc.
9- Scanning as-a-service : accès à prix réduit à des outils commerciaux légitimes (Metasploit, Burp Suite) pour trouver et exploiter des vulnérabilités
En résumé, le rapport de Sophos pour 2023 met en lumière la croissance continue du modèle « Crime-as-a-Service » dans l’univers de la cybercriminalité, avec des marketplaces numériques underground offrant pratiquement tous les éléments de la boîte à outils du cybercrime à ceux qui sont prêts à payer pour les obtenir. Les outils d’attaque professionnels sont également largement disponibles, et les activités opérationnelles des acteurs utilisant des ransomwares continuent de gagner en maturité. En outre, la guerre en Ukraine a conduit à des divisions et des ruptures au sein des groupes cybercriminels de langue russe, entraînant également une vague de nouvelles fraudes.
