Informatique

Les groupes de rançongiciels sont désormais assez riches

Les groupes de rançongiciels sont désormais assez riches pour s'offrir des failles zero-day

Les cybercriminels continuent à trouver de nouveaux moyens de lancer des attaques, et certains sont maintenant prêts à acheter des vulnérabilités de type « zero-day », une pratique généralement associée aux groupes soutenus par des Etats.

Les connaissances sur les vulnérabilités et les exploits peuvent atteindre un prix élevé sur les forums clandestins, car le fait de pouvoir en tirer parti peut être très rentable pour les cybercriminels. C’est d’autant plus vrai s’il s’agit d’une vulnérabilité de type « zero-day » qui n’est pas connue des éditeurs de logiciels, car les attaquants savent que les victimes potentielles n’auront pas eu l’occasion d’appliquer les mises à jour de sécurité pour s’en protéger.

Les vulnérabilités de type « zero-day » sont généralement déployées par des groupes d’attaquants soutenus par des Etats disposant de ressources importantes. Mais une analyse réalisée par les chercheurs en cybersécurité de Digital Shadows montre qu’il y a de plus en plus de discussions sur les forums du dark web concernant le marché criminel des « zero-day ».

Des failles très coûteuses

« Ce marché extrêmement coûteux et concurrentiel est généralement l’apanage des groupes malveillants soutenus par des Etats. Cependant, certains groupes cybercriminels très connus ont amassé des fortunes considérables ces dernières années, et peuvent désormais concurrencer les acheteurs traditionnels d’exploits « zero-day » », raconte Digital Shadows.

« Les Etats peuvent acheter des exploits zero-day de manière légale auprès d’entreprises qui se consacrent uniquement à la création de ces outils », indique à ZDNet Stefano De Blasi, chercheur en menaces chez Digital Shadows. « Cependant, lorsque ces outils sont développés par des cybercriminels, il est probablement plus facile pour ces acteurs hors la loi d’y accéder ; il n’y a cependant qu’une poignée d’acteurs qui pourraient se permettre le coût d’un exploit zero-day. »

Les vulnérabilités de ce type peuvent coûter des millions de dollars, mais ce prix pourrait être abordable pour un groupe de ransomware prospère qui gagne des millions avec chaque attaque de ransomware réussie. L’acheteur pourrait facilement récupérer ce qu’il dépense si la vulnérabilité fonctionne comme prévu en fournissant un moyen fiable d’infiltrer les réseaux.

Location de zero-day

Mais il existe une autre méthode pour gagner de l’argent avec les vulnérabilités, qui pourrait permettre de mettre ces vulnérabilités entre les mains de cybercriminels moins sophistiqués : l' »exploit-as-a-service ».

Au lieu de vendre purement et simplement la vulnérabilité, le cybercriminel qui l’a découverte peut la louer à d’autres. Il peut ainsi commencer à gagner de l’argent plus rapidement que s’il passait par le processus complexe de la vente, et il peut continuer à en tirer profit pendant longtemps. Il a également la possibilité de la vendre à tout moment.

« Ce modèle permet aux développeurs de zero-day de générer des gains substantiels en louant la faille zero-day en attendant un acheteur définitif. De plus, avec ce modèle, les parties qui louent peuvent tester le zero-day proposé et décider plus tard d’acheter l’exploit sur une base exclusive ou non exclusive », indique le rapport.

Le milieu de la cybercriminalité se développe

La vente à des groupes de pirates soutenus par des Etats reste pour l’instant l’option préférée de certains développeurs de zero-day, mais l’intérêt croissant que suscitent les exploits de ce type sur les forums clandestins montre que certains groupes cybercriminels se rapprochent du niveau des opérations soutenues par des Etats.

L’essor du modèle commercial « exploit-as-a-service » confirme que le milieu de la cybercriminalité ne cesse de se développer, tant en termes de sophistication que de professionnalisation. Certains groupes criminels de premier plan peuvent désormais rivaliser en termes de compétences techniques avec des acteurs soutenus par l’Etat ; « de nombreux groupes de ransomware de premier plan, en particulier, ont désormais amassé suffisamment de ressources financières pour acheter des outils de type « zero-day » », explique Stefano De Blasi.

En raison de la nature des vulnérabilités de type « zero-day », il est difficile de défendre les réseaux contre elles, mais des pratiques de cybersécurité comme l’application des mises à jour de sécurité critiques dès leur publication peuvent empêcher les cybercriminels de disposer d’une longue fenêtre pour tirer parti des vulnérabilités. Les organisations doivent également disposer d’un plan d’action si elles découvrent qu’elles ont été victimes d’une attaque.

« Des stratégies de réponse aux incidents bien rodées et documentées peuvent s’avérer cruciales pour répondre à tout attaquant ayant pu accéder à l’environnement d’une cible », prévient Stefano De Blasi.

Source : ZDNet.com




Source link

Articles similaires

Bouton retour en haut de la page