Si le crime ne paie pas, certains cybercriminels ne le sauraient pas. Selon un rapport publié lundi par Trend Micro, un membre d’une équipe de cybercriminalité comme Conti peut gagner environ 1,1 million de dollars par an.
Étant donné que les groupes de cybercriminalité ne déposent pas de rapports auprès de la SEC, le salaire gagné par un grand générateur d’argent dans une grande entreprise criminelle comme Conti représente la meilleure estimation de Trend Micro sur la base d’informations divulguées sur le groupe et de ses revenus estimés de 150 à 180 millions de dollars. million.
« Les faits extraits des conversations divulguées brossent un tableau de l’organisation Conti ressemblant étroitement à une grande entreprise légitime », ont noté les chercheurs de Trend Micro.
« Ces criminels semblent avoir réussi à construire une organisation complexe avec de nombreux niveaux de gestion et des règles et réglementations internes qui imitent celle d’une société légitime », ont-ils ajouté.
Le rapport « Inside the Halls of a Cybercrime Business », de David Sancho et Mayra Rosario Fuentes, se concentre sur les revenus et l’organisation de trois groupes criminels distincts – un petit (moins de 500 000 dollars de revenus annuels), un moyen (jusqu’à 50 millions de dollars) et un grand (plus de 50 millions de dollars).
La taille influence la spécialisation
Comme toute entreprise, la taille influence le degré de spécialisation d’une organisation criminelle, a observé le vice-président de la stratégie de marché de Trend Micro, Eric Skinner.
« Un petit groupe se spécialisera dans un domaine – soit en sous-traitant d’autres aspects de son fonctionnement, soit en étant des fournisseurs de niche pour des groupes plus importants », a-t-il déclaré à TechNewsWorld.
« Au fur et à mesure qu’un groupe s’agrandit », a-t-il poursuivi, « il peut apporter davantage de compétences de niche en interne pour réduire les coûts ou avoir plus de contrôle sur sa chaîne d’approvisionnement ».
« Les organisations criminelles ont tendance à refléter les affaires légales parce que les deux essaient de maximiser les profits », a-t-il ajouté. « Une organisation non motivée par le profit, disons une organisation idéaliste ou terroriste, aura souvent des structures différentes pour refléter ses différents objectifs. »
À mesure que les organisations criminelles se développent, elles sont confrontées à bon nombre des mêmes défis « commerciaux » que les organisations légitimes, notamment le recrutement, la formation, le développement de logiciels, le développement commercial et le marketing, a noté Sean McNee, vice-président de la recherche et des données chez DomainTools, spécialiste du renseignement sur Internet à Seattle. .
« En tant que tels », a-t-il déclaré à TechNewsWorld, « ils ont adopté de nombreuses meilleures pratiques et modèles commerciaux pour résoudre les mêmes problèmes auxquels sont confrontées les organisations légitimes dans la gestion de ces défis ».
Nouveau type de startup
McNee a déclaré que l’écosystème de la cybercriminalité est un marché libre concurrentiel qui mûrit rapidement.
« Les relations dans cette économie permettent aux organisations d’explorer la spécialisation technique, des modèles d’affiliation et de vente efficaces et la capacité d’évoluer efficacement », a-t-il poursuivi. « Les opérations de cybercriminalité pourraient alors être considérées en termes de startups technologiques – capitaliser sur la vitesse, les itérations rapides pour s’adapter au marché des produits et forger des partenariats commerciaux. »
Les organisations criminelles ne sont pas si différentes des sociétés à but lucratif, a affirmé John Bambenek, principal chasseur de menaces chez Netenrich, une société d’opérations informatiques et de sécurité numérique à San Jose, en Californie.
« Ils doivent organiser les personnes et les processus pour accomplir la mission de gagner de l’argent », a-t-il déclaré à TechNewsWorld. « Ils sont simplement prêts à utiliser des outils criminels pour y parvenir. »
Non seulement les modèles commerciaux traditionnels ont fait leurs preuves, mais ils évoluent également bien, a ajouté Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, un fournisseur de formation à la sensibilisation à la sécurité à Clearwater, en Floride.
« Traitant avec des groupes de criminels, il doit y avoir une délimitation claire des pouvoirs, et des freins et contrepoids doivent être en place pour s’assurer que ces criminels ne volent pas leur propre organisation de cybercriminalité », a-t-il déclaré à TechNewsWorld. « Une organisation et une autorité bien définie sont essentielles pour assurer le bon déroulement des opérations. »
Questions de taille
Le rapport a noté que la détermination de la taille d’une organisation peut être un élément d’information important pour l’application de la loi.
Il a expliqué que connaître la taille d’une organisation criminelle ciblée peut conduire à donner la priorité aux groupes à poursuivre par rapport aux autres pour obtenir un impact maximal.
« Gardez également à l’esprit que plus l’organisation est grande, moins elle est vulnérable aux arrestations, mais plus elle est sujette à la manipulation », ont écrit les chercheurs.
« Les techniques de collecte de données sont vitales », ont-ils poursuivi, « S’il y a quelque chose que les chats Conti divulgués nous ont appris, c’est que la divulgation d’informations peut être beaucoup plus puissante pour paralyser les opérations d’un groupe que les démontages de serveurs. »
« Une fois que des informations privées ont été divulguées, la relation de confiance entre les membres du groupe et leurs partenaires externes peut être irréversiblement érodée », ont-ils ajouté. « À ce stade, rétablir la confiance est beaucoup plus difficile que de changer d’adresse IP ou de changer de fournisseur d’accès Internet. »
Sacrifier les Skels
Kron a toutefois souligné que les opérations de cybercriminalité bien organisées seront beaucoup plus difficiles à pénétrer pour les forces de l’ordre et à recueillir des informations.
« Ils peuvent assurer la sécurité des dirigeants de niveau supérieur en ayant de nombreux niveaux de culpabilité sous eux », a-t-il déclaré. « Tout comme pour les drogues de rue, ce sont généralement les vendeurs de rue de bas niveau qui sont arrêtés tandis que les chevilles ouvrières et les trafiquants à grande échelle sont isolés. »
Trickbot et Conti ont recruté dans des universités techniques et des sites de recherche d’emploi légitimes, et il est probable que ces recrues n’étaient pas au courant du travail qu’elles soutenaient, a ajouté Andras Toth-Czifra, analyste principal chez Flashpoint, une société mondiale de renseignement sur les menaces.
« L’arrestation d’un individu ne compromet pas nécessairement une organisation car les travailleurs de niveau inférieur peuvent ne pas être conscients du travail qu’ils soutiennent », a-t-il déclaré à TechNewsWorld. « Les analystes ont observé des tactiques similaires utilisées pour recruter des mules financières involontaires. »
Économie souterraine
Avec une organisation et une spécialisation accrues, les groupes de cybercriminalité évoluent plus rapidement et plus efficacement à chaque étape d’une attaque, a noté Skinner.
« Alors que la majorité des attaques commencent toujours par le phishing ou l’exploitation d’actifs vulnérables accessibles sur Internet, nous assistons à une augmentation des attaques de la chaîne d’approvisionnement », a-t-il ajouté.
« Et », a-t-il poursuivi, « nous assistons à une évolution des tactiques d’extorsion, au-delà des rançongiciels destructeurs, avec davantage d’accent sur l’exfiltration de données et les menaces de divulgation publique d’informations sensibles ».
« Ce que nous voyons est une économie souterraine en développement », a ajouté McNee.
Il a noté que les tendances récentes se concentrent sur la spécialisation et la division du travail au sein des groupes, car ils recueillent les ressources dont ils ont besoin pour développer et faire mûrir leurs entreprises criminelles.
« La collaboration a toujours été la marque de fabrique de bon nombre de ces groupes », a-t-il déclaré. « Avec la consolidation de certaines grandes organisations, leur capacité à développer certaines capacités en interne s’est accrue. »
« Avec la prolifération du modèle ransomware-as-a-service, le support client et le marketing de leur » réussite client « et le support ont également augmenté », a-t-il ajouté.
L’une des choses fascinantes à propos des cybercriminels est la vitesse à laquelle ils adoptent une technologie de pointe, a observé Andrew Barratt, directeur général des solutions et des enquêtes chez Coalfire, un fournisseur de services de conseil en cybersécurité basé à Westminster, Colorado.
« Il y a quelques années, nous savions que des criminels utilisaient l’IA et l’apprentissage automatique pour effectuer un traitement du langage – tous pré-chatGPT – pour imiter le langage utilisé dans les e-mails utilisés par leurs cibles. »
« Ils sont compatibles avec le cloud, diversifiés à l’échelle mondiale et, dans de nombreux cas, prêts à prendre des risques avec les nouvelles technologies, car les gains peuvent être si élevés », a-t-il ajouté.