L’équipe de lutte contre les menaces de HP Wolf Security a collaboré avec Forensic Pathways, un groupe leader dans le domaine de la criminalistique au niveau mondial, dans le cadre d’une enquête de trois mois sur le Dark Web. Plus de 35 millions de places de marché et de messages publiés sur des forums par des cybercriminels ont été récupérés et analysés afin de mieux comprendre comment les cybercriminels opèrent, gagnent la confiance de leurs clients et se forgent une réputation.

En voici les principales conclusions  :
• Les logiciels malveillants sont très bon marché et faciles à trouver - Plus des trois quarts (76 %) des annonces de logiciels malveillants répertoriées et 91 % des exploits (c’est-à-dire du code qui permet aux pirates informatiques de prendre le contrôle de systèmes en tirant parti de bogues logiciels) sont vendus pour moins de 10 dollars. Le coût moyen d’un identifiant de protocole de bureau à distance compromis est de seulement 5 dollars. Les fournisseurs vendent des lots de produits, avec des logiciels malveillants en kit prêts à l’emploi, des logiciels malveillants fournis sous la forme d’un service, des didacticiels et des services de tutorat, ce qui limite les compétences techniques et l’expérience requises pour mener à bien des attaques complexes et ciblées. En fait, seuls 2 à 3 % des cybercriminels sont aujourd’hui des codeurs expérimentési.
• C’est toute l’ironie du dicton «  l’honneur entre cybervoleurs  » - Tout comme dans le monde du e-commerce licite, la confiance et la réputation sont, et c’est le paradoxe, des éléments essentiels du commerce entre cybercriminels  : 77 % des places de marché cybercriminelles étudiées exigent une caution - une licence de vente - dont le prix peut atteindre 3 000 dollars. 85 % d’entre eux paient sur des comptes de dépôt, et 92 % disposent d’un service de règlement des litiges par un tiers. Chaque place de marché donne également des notes aux fournisseurs. Les cybercriminels tentent également de toujours garder une longueur d’avance sur les autorités répressives en transférant leur réputation d’un site Internet à l’autre, la durée de vie moyenne d’un site Tor sur le Dark Web n’étant que de 55 jours.
• Les logiciels populaires permettent aux cybercriminels de mettre le pied à l’étrier - Les cybercriminels s’efforcent de trouver des failles dans des logiciels qui leur permettront ensuite de pénétrer dans les systèmes et d’en prendre le contrôle. Ils ciblent notamment les bogues et les vulnérabilités connus dans les logiciels populaires. Citons, par exemple, le système d’exploitation Windows, Microsoft Office, les systèmes de gestion de contenu en ligne ou les serveurs Web et de messagerie. Les kits qui exploitent les vulnérabilités des systèmes de niche sont les plus chers (généralement entre 1 000 et 4 000 dollars). Les failles Zero Day (vulnérabilités qui ne sont pas encore connues du public) se vendent pour des dizaines de milliers de dollars sur les marchés du Dark Web.
«  Malheureusement, il n’a jamais été aussi simple d’être un cybercriminel. Les attaques complexes nécessitaient auparavant des compétences, des connaissances et des ressources importantes. Aujourd’hui, la technologie et la formation sont disponibles à un prix minime. Qu’il s’agisse de l’exposition des données de votre entreprise et de vos clients, de retards de livraison ou même de l’annulation d’un rendez-vous à l’hôpital, l’explosion de la cybercriminalité nous concerne tous  », explique l’auteur du rapport, Alex Holland, analyste spécialisé dans les logiciels malveillants chez HP.

«  Au cœur de ce phénomène se trouve le ransomware, qui a créé un nouvel écosystème cybercriminel récompensant les petits acteurs en leur offrant une part des bénéfices. Cela crée une chaîne de production de la cybercriminalité, qui produit des attaques contre lesquelles il peut être très difficile de se défendre et qui met dans le collimateur les entreprises dont nous dépendons tous  », ajoute Alex Holland.

HP a consulté un groupe d’experts de la cybersécurité et des universitaires, dont l’ancien pirate Michael «  Mafia Boy  » Calce et le criminologue Mike McGuire, pour comprendre comment la cybercriminalité avait évolué et ce que les entreprises pouvaient faire pour mieux se protéger contre les menaces d’aujourd’hui et de demain. Ils estiment que les entreprises devraient se préparer à faire face à des attaques par déni de données destructrices, à des cybercampagnes de plus en plus ciblées et à des cybercriminels utilisant des technologies émergentes comme l’intelligence artificielle pour remettre en cause l’intégrité des données des organisations. Pour se protéger contre les menaces actuelles et futures, ce rapport donne plusieurs conseils aux entreprises  :
• Maîtriser les fondamentaux pour réduire les chances de réussite des cybercriminels  : adopter les meilleures pratiques, telles que l’authentification multifactorielle et la gestion des correctifs  ; réduire sa vulnérabilité aux principaux vecteurs d’attaque tels que les e-mails, la navigation et le téléchargement de fichiers  ; et privilégier les matériels à réparation automatique pour renforcer la résilience.
• Se concentrer sur la victoire  : se préparer au pire  ; limiter les risques induits par les employés et les partenaires en mettant en place des processus de vérification de la sécurité des fournisseurs et en sensibilisant ses collaborateurs à l’ingénierie sociale  ; être «  orienté processus  » et répéter régulièrement les réponses aux attaques afin d’identifier les problèmes, d’apporter des améliorations et de mieux se préparer.
• La cybercriminalité est un sport d’équipe. La cybersécurité doit l’être aussi  : parler à vos pairs pour partager les informations et les renseignements sur les menaces en temps réel  ; utiliser les renseignements sur les menaces et faire preuve de proactivité dans l’analyse en surveillant les discussions ouvertes sur les forums clandestins  ; et travailler avec des services de sécurité tiers pour découvrir les points faibles et les risques critiques auxquels remédier.

«  Nous devons tous faire davantage pour lutter contre la cybercriminalité, en pleine expansion », déclare le Dr Ian Pratt, Responsable mondial de la sécurité des systèmes personnels chez HP. «  Pour les particuliers, cela signifie être sensible aux questions de cybersécurité. La plupart des attaques commencent par un simple clic de souris. Il est donc important de réfléchir avant de cliquer. Mais avoir un filet de sécurité technologique qui peut atténuer l’impact des mauvais clics, c’est encore mieux.  »

«  Pour les entreprises, il est important de renforcer la résilience et de fermer les voies d’attaque fréquentes », poursuit Ian Pratt. «  Par exemple, les cybercriminels étudient les correctifs dès leur publication et mettent rapidement au point un exploit avant que les organisations aient pu les installer. Il est donc essentiel d’accélérer leur gestion. Bon nombre des catégories de menaces, telles que celles transmises par e-mail et sur le Web, peuvent être entièrement neutralisées par des techniques comme le confinement et l’isolation des menaces, réduisant considérablement la surface d’attaque, que les vulnérabilités soient corrigées ou non ». Le rapport complet est consultable ici.

À propos de cette recherche

L’évolution de la cybercriminalité  : Pourquoi le Dark Web décuple l’efficacité des menaces et comment riposter - un rapport de HP Wolf Security.
1. Etude indépendante réalisée par Forensic Pathways, société d’investigation sur le Dark Web, et commandée par HP Wolf Security. Le cabinet a recueilli les listes des marchés du Dark Web en utilisant ses robots d’exploration automatisés qui surveillent le contenu du réseau Tor. Leur outil Dark Search Engine dispose d’un index composé de plus de 35 millions d’URL de données raclées. Les données ainsi collectées ont été examinées et validées par les analystes de Forensic Pathway. Ce rapport a analysé environ 33 000 sites Internet actifs sur le Dark Web, dont 5 502 forums et 6 529 places de marché. Entre février et avril 2022, Forensic Pathways a identifié 17 places de marché récemment actives sur le réseau Tor et 16 forums de piratage sur le réseau Tor et sur le Web contenant des listes pertinentes qui constituent l’ensemble des données.
2. Ce rapport intègre également des données télémétriques sur les menaces provenant de HP Wolf Security et des recherches sur les communications divulguées par le groupe Conti ransomware.
3. Entretiens et contributions d’un panel d’experts en cybersécurité, notamment  :
• Alex Holland, auteur du rapport, analyste spécialisé dans les logiciels malveillants chez.
• Joanna Burkey, responsable de la sécurité informatique chez HP Inc.
• Dr Ian Pratt, responsable mondial de la sécurité des systèmes personnels chez HP Inc.
• Boris Balacheff, technologue en chef pour la recherche et l’innovation en matière de sécurité chez HP Labs.
• Patrick Schlapfer, analyste spécialisé dans les logiciels malveillants chez HP.
• Michael Calce, ancien pirate informatique black hat du nom de «  MafiaBoy  », membre du conseil consultatif sur la sécurité de HP, PDG de Decentraweb et président d’Optimal Secure.
• Dr Mike McGuire, maître de conférences en criminologie à l’université du Surrey (Royaume-Uni) et expert en cybersécurité et auteur.
• Robert Masse, membre du conseil consultatif sur la sécurité de HP et associé chez Deloitte.
• Justine Bone, membre du conseil consultatif sur la sécurité de HP et CEO de Medsec.