Si la cybercriminalité était un pays, elle aurait le troisième produit intérieur brut (PIB) mondialD'après les chercheurs, la cybercriminalité représente 10 500 milliards de dollars, la plaçant juste derrière les économies américaine et chinoise. Ce secteur est en pleine expansion ; l'économie des cybercriminels devrait atteindre 12 200 milliards de dollars d'ici 2031.
Comme toute économie, la cybercriminalité s'est stabilisée et structurée en un système de secteurs, de spécialistes, de chaînes d'approvisionnement, de places de marché et d'entités organisées et motivées par le profit. Malheureusement, chaque dollar généré par la cybercriminalité est un dollar de moins pour l'économie légitime.
L'économie de la cybercriminalité est vaste et regroupe des acteurs de tous types : des particuliers achetant des kits d'outils aux groupes organisés de pirates informatiques spécialisés dans les Rançongicielss, en passant par les criminels soutenus par des États. Cependant, cette économie obéit à une certaine organisation. Certains secteurs sont plus lucratifs que d'autres, et les cybercriminels ont tendance à utiliser des outils spécifiques pour communiquer et effectuer leurs paiements.
Pourquoi les équipes de sécurité doivent-elles comprendre les enjeux économiques de la cybercriminalité ? Parce que les acteurs malveillants agissent selon une logique commerciale : profit, efficacité, gestion des risques. Pour mettre en place des défenses proactives, il est essentiel d’analyser leurs motivations et leurs structures.
Pourquoi l'économie des cybermenaces continue de croître
La cybercriminalité se développe pour une raison fondamentale : elle est efficace. Malgré la répression croissante des gouvernements et des forces de l’ordre, les conditions restent favorables aux cybercriminels.
- Faible risque, récompense élevée : Le rapport risque/récompense est élevé pour les cybercriminels. Nombre d'entre eux opèrent dans des juridictions où les lois d'extradition sont laxistes, voire inexistantes. L'identification des auteurs est complexe, les poursuites rares et les sanctions incohérentes d'un pays à l'autre. Compte tenu des gains potentiels d'une attaque réussie, il n'est pas surprenant que tant de personnes mal intentionnées choisissent de devenir cybercriminels.
- Critères d'entrée peu élevés : Les cybercriminels n'ont pas besoin d'être des programmeurs pour se lancer dans la cybercriminalité. Grâce aux logiciels malveillants prêts à l'emploi, aux plateformes RaaS et… kits de phishing, n'importe qui disposant de quelques centaines de dollars peut lancer une attaque.
- Forte demande de données volées : La raison pour laquelle les acteurs malveillants volent des données est qu'il existe une demande pour ces données. bûches de voleurLes identifiants, les informations de paiement, la propriété intellectuelle des entreprises et d'autres données sont régulièrement vendus sur les marchés illicites.
- Sous-investissement dans la défense : Malgré une sensibilisation accrue, de nombreuses organisations utilisent encore des technologies obsolètes, n'ont pas de système d'authentification multifacteur (MFA) ou ne surveillent pas la revente des accès initiaux. Ces lacunes peuvent être exploitées par des acteurs malveillants.
- Infrastructure décentralisée : Les acteurs malveillants ne se rencontrent pas dans des lieux facilement repérables. Ils utilisent plutôt le dark web et des plateformes de messagerie décentralisées, comme Telegram, pour communiquer et effectuer des paiements. Telegram, en particulier, est devenu une plateforme privilégiée pour la cybercriminalité.
Telegram : un marché pour la cybercriminalité
Pour mener leurs activités, les acteurs malveillants ont besoin d'un lieu de rencontre. Telegram, une application de messagerie sécurisée offrant le chiffrement, est devenue de plus en plus ce lieu d'échange.
Ceci est probablement dû au fait que Telegram est à la fois anonyme et facile à utiliserLes utilisateurs de Telegram peuvent rapidement créer de nouveaux comptes ou renommer des comptes existants, créer de nouveaux canaux et groupes, et rechercher des canaux dédiés à des types spécifiques de cybercriminalité.
Telegram élimine également les intermédiaires. forums Web sombreLes vendeurs pourraient devoir payer un service de séquestre. Cependant, sur Telegram, les acteurs malveillants peuvent vendre logiciel malveillant voleur d'informations, de fichiers cleptogicielsou des identifiants selon leurs propres conditions. Cela ne signifie pas pour autant que les forums du dark web ne sont pas utilisés. De nombreux cybercriminels utilisent à la fois Telegram et le dark web, ainsi que d'autres applications de messagerie.
Un acteur malveillant fait la promotion d'un bot de recherche ULP de vol de journaux sur Telegram.
L'écosystème du logiciel malveillant en tant que service (MaaS)
Sans les logiciels malveillants en tant que service (MaaS), la plupart des cybercriminels seraient incapables de lancer des attaques. Nombre d'entre eux achètent simplement les rançongiciels ou les voleurs de données qu'ils utilisent auprès de développeurs, dont beaucoup fonctionnent comme des entreprises SaaS (Software-as-a-Service) légitimes. Ces fournisseurs proposent une assistance, des paiements d'abonnement automatisés et des tableaux de bord utilisateurs.
L'écosystème MaaS comprend logiciel malveillant voleur d'informations.
L'économie florissante des Rançongicielss
L'un des secteurs les plus lucratifs de l'économie des acteurs malveillants est celui des Rançongicielss, et c'est aussi l'un des plus organisés. Les groupes de Rançongiciels sont de plus en plus sophistiqués. et fonctionnent comme des entreprises légitimes. Par exemple, des groupes comme LockBit et Conti sont structurés comme des sociétés, avec des services de relations publiques, des politiques RH, des programmes d'affiliation et même un service client pour les victimes qui tentent de payer.
Les rançongiciels représentent un marché florissant, et ce pour deux raisons principales. Premièrement, les groupes de rançongiciels ciblent souvent des systèmes à fort potentiel de gains, et deuxièmement, l'extorsion peut prendre plusieurs formes. Outre la simple demande de rançon pour rétablir le contrôle d'un système, les cybercriminels exigent également une rançon pour le déchiffrement des données ou pour empêcher leur divulgation.
Plus récemment, Certains groupes expérimentent de nouvelles tactiques. comme l'utilisation de ChatGPT pour résumer le contenu d'une fuite de données, ou la vente de données volées pour le compte de tiers.
Voleurs d'informations : l'épine dorsale de l'économie de la menace
L'économie des Rançongicielss repose sur les journaux de voleurs.
Les fichiers journaux des voleurs d'informations sont des fichiers volumineux contenant chacun une quantité massive d'informations sur une personne, compilées par un logiciel malveillant de type voleur d'informations. Ces fichiers incluent des données telles que les identifiants, les cookies et jetons de session, les données de navigation, les portefeuilles de cryptomonnaies, etc.
Des acteurs malveillants publient des messages annonçant le transfert massif de journaux de vol de données, accompagnés de fichiers zip contenant des centaines de journaux.
Un fichier zip contenant des dossiers correspondant à chaque victime
À bien des égards, les journaux de vol de données constituent l'épine dorsale de l'économie des menaces ; ils sont vendus et distribués sur des marchés illicites. Leurs acheteurs utilisent ensuite ces données pour lancer d'autres attaques. Par exemple, les auteurs de rançongiciels recherchent souvent des journaux de vol de données contenant des informations spécifiques ou ciblant certains secteurs d'activité.
À l'instar des rançongiciels, les voleurs d'informations sont vendus sous forme de kits d'outils et de logiciels malveillants en tant que service. Leurs tarifs varient selon le type de voleur d'informations.
Variantes standard :
- Modèle d'abonnement mensuel
- Fourchette de prix : 130-170 $ US
- Paiements acceptés en cryptomonnaie
- Comprend l'hébergement de l'infrastructure C2
Variantes spécialisées :
- Les logiciels malveillants pour macOS sont proposés à des prix élevés
- Les prix plus élevés reflètent une concurrence limitée dans le domaine des logiciels malveillants pour Mac ; cependant, le nombre de voleurs ciblant macOS ayant récemment augmenté, cette situation pourrait évoluer.
Blanchir le butin
Si l'économie du crime prouve une chose, c'est que le crime paie. Mais malheureusement (pour les cybercriminels), le crime paie en cryptomonnaie traçable. L'un des plus grands défis survient après avoir empoché le pactole. blanchir l'argentLe blanchiment d'argent volé est une opération risquée et complexe, susceptible d'attirer l'attention des autorités ou de groupes criminels plus importants. Transformer de l'argent volé en espèces légalement utilisables est généralement un processus en plusieurs étapes qui nécessite une planification minutieuse.
- Nettoyer l'argent : C'est la première étape, et la plus simple. Les cybercriminels « nettoient » les cryptomonnaies en les échangeant sur une plateforme d'échange ou en utilisant un service de mixage – qui masque l'origine des cryptomonnaies en mélangeant les fonds de plusieurs utilisateurs – rendant ainsi plus difficile le traçage de leur provenance et de leur destination. Cependant, cela ne rend pas les fonds légaux ni utilisables pour autant.
- Légaliser l'argent blanchi : Le blanchiment d'argent ne le rend pas pour autant utilisable ou légal. Les revenus légaux peuvent être déclarés, investis ou dépensés ouvertement sans attirer l'attention. Les acteurs malveillants restent généralement discrets sur la manière dont ils procèdent.
Malgré les inquiétudes liées au blanchiment d'argent, la plupart des criminels ne gagnent pas suffisamment d'argent liquide pour que cela soit nécessaire. Légaliser l'argent volé pose problème aux cybercriminels les plus lucratifs, comme les responsables de plateformes de rançongiciels et autres groupes organisés.
L'avenir de l'économie de la cybercriminalité
L'économie de la cybercriminalité ne ralentit pas ; elle évolue, s'étend et opère avec un professionnalisme qui rivalise avec celui des entreprises légitimes. Des attaques par rançongiciel aux marchés du vol d'informations, en passant par l'essor de Telegram comme plaque tournante de la cybercriminalité, les acteurs malveillants d'aujourd'hui sont agiles, organisés et de plus en plus difficiles à traquer.
Pour se défendre contre ces acteurs malveillants, les équipes de sécurité ont besoin d'une meilleure visibilité, non seulement sur leur propre infrastructure, mais aussi sur les recoins obscurs d'Internet où les données volées sont vendues, l'accès est négocié et les outils sont échangés.
Suivez l'économie des cybermenaces avec Flare
La fusée L'outil de renseignement sur l’exposition aux cybermenaces Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.
