Cybercrime : plongée dans l'écosystème

Contre ces outils et services "de qualité", les plateformes cybercriminelles prélèvent une partie des montants rançonnés en guise de paiement. Les rémunérations prélevées par ces plateformes sont variables : 20 % pour Netwalker et jusqu’à 70 % pour d’autres groupes. 

Dans le cadre de notre simulation, notre groupe de cybercriminels choisit de s’affilier au cartel Egregor, qui prend une commission d’environ 30 % sur les attaques réussies.

L’externalisation d’une partie des cyberattaques a permis à des cybercriminels moins expérimentés de mener des attaques plus complexes et ambitieuses et de démultiplier les gains pour les plateformes. Ainsi, la conduite de l’attaque est prise en charge par une équipe de cybercriminels affiliés, tout en étant fortement assistée par le cartel de Ransomware-as-a-Service.

Lorsqu’un cybercriminel devient affilié à une telle plateforme, sa tâche est facilitée. Il ne s’occupe pas de développer un rançongiciel et une interface permettant de piloter l’attaque, ni de gérer la négociation et la collecte de la rançon. Toutefois, ces affiliés sont chargés de l’intrusion - via les accès achetés précédemment -, du vol de données permettant de faciliter la négociation et du déploiement du ransomware.

 Les relations sur ce type de plateforme sont avant tout fondées sur la confiance entre le vendeur (la plateforme) et l’acheteur (le cybercriminel qui va conduire l’attaque). Les cybercriminels affiliés doivent d’abord faire leurs preuves sur des attaques basiques, avant de gagner la confiance nécessaire pour mener des opérations plus ambitieuses.

Dans le cadre de notre simulation, nous prenons pour hypothèse que, sur les 20 entreprises attaquées par les criminels, une grande partie des attaques réussiront. Nous estimons que seulement 4 victimes (20 %) paieront finalement la rançon, négociée 20 % moins chère en moyenne.

Masquer ses traces et blanchir l’argent

Une fois la cyberattaque menée à bien, les cybercriminels ont en leur possession une rançon payée en cryptomonnaies, la plupart du temps en Bitcoins. Même s’il existe des cryptomonnaies plus confidentielles, comme Monero, la popularité du Bitcoin en fait un choix privilégié encore aujourd’hui.

Dans le cadre de notre simulation, le groupe de cybercriminels s’est affilié au cartel Egregor, qui demande des paiements en Bitcoins. Nous faisons l’hypothèse qu’ils utilisent des services de Bitcoin mixing pour masquer les traces des flux financiers. Ceci leur coûte 0,5 % des sommes blanchies.

Enfin, les cybercriminels doivent trouver un moyen pour blanchir l’argent et le retrouver physiquement dans leur porte-monnaie. Pour ce faire, ils font par exemple appel à des groupes spécialisés dans le blanchiment ayant recours à des passeurs d’argent, ou "money mules", pour sortir l’argent du pays et le transformer en espèces. Pour recruter les passeurs, les cybercriminels abusent de la confiance de personnes relativement naïves à travers des arnaques, telles que des fausses offres d’emploi, ou encore en faisant du chantage.

D’après le spécialiste en cybersécurité Brian Krebs, le coût du blanchiment est estimé à 50 % des profits générés et la plupart du temps externalisés.

Dans le cadre de notre simulation, le groupe de cybercriminels a fait appel à des groupes spécialisés pour le blanchiment et la gestion des "money mules". Ces services ont un coût proche des 50 % des sommes blanchies.

Quelle est donc la rentabilité d’une campagne d’attaques sur une vingtaine de cibles par un groupe d’affiliés à un cartel du ransomware ?

La "plateformisation" du cybercrime donne aux attaquants des moyens financiers impressionnants et leur permet une croissance exponentielle. Récemment, le cartel REvil (aussi connu sous le nom de Sodinokibi) a déclaré gagner au minimum 100,000,000 $ par an, avec des gains pour ses affiliés variant entre 30,000 $ et 8,000,000 $ pour chaque attaque menée, en fonction de son ampleur. Le rapport 2020 de X-Force Threat Intelligence (IBM) estime de son côté que ce cartel a réalisé au moins 123 millions de dollars de bénéfices en 2020, volant environ 21,6 téraoctets de données. L’exemple de Ryuk est aussi frappant. La plateforme, créée mi-2018, a collecté 3,000,000 $ dans sa première année d’existence d’après les analyses du FBI, puis 60,000,000 $ dans la deuxième, pour atteindre 150,000,000 $ en cumulé fin 2020.

Dans le cadre de notre simulation, nous calculons une rentabilité entre 250 % et quasiment 1000 % pour un groupe de cybercriminels chargé de conduire l’attaque. Ces gains sont encore plus importants pour les plateformes consolidant les rançons issues de multiples attaques.

Ces chiffres peuvent varier très fortement en fonction des plateformes utilisées, du niveau d’expertise et d’ancienneté des groupes d’affiliés, ou des demandes de paiements de rançons.

Aujourd’hui, cela donne aux groupes cybercriminels des moyens humains et technologiques proches de ceux des départements de cybersécurité offensive des États, leur permettant de croître considérablement. Sans être en mesure de mieux arrêter les cybercriminels, il semble impossible de ralentir le phénomène. Toutefois, les opérations policières internationales du début de l’année 2021 redonnent espoir, prouvant que des actions judiciaires coordonnées peuvent être entreprises pour arrêter les cybercriminels.

Comment arriver à juguler largement ce phénomène ? Nous explorerons des pistes de réflexions dans le troisième et dernier billet de notre série.

Copyright : DAMIEN MEYER / AFP