La gig economy de la cybercriminalité
Vous avez probablement entendu le terme « gig economy », qui désigne un marché du travail caractérisé par des emplois à court terme, ou « gigs ».
Christine Barry
6/1/20265 min read
Vous avez probablement entendu le terme « gig economy », qui désigne un marché du travail caractérisé par des emplois à court terme, ou « gigs ». Ces « gigs » sont basés sur des projets et organisés par le biais de plateformes numériques ou de réseaux informels. Les travailleurs acceptent des missions selon les besoins, tout comme un designer pourrait décrocher un emploi via Fiverrr ou Freelancer. L’économie des petits boulots repose sur l’agilité, la spécialisation et la collaboration à la demande, et elle fonctionne très bien pour les acteurs de menace exploitant des ransomware et menant d’autres opérations criminelles.
Informations générales
Le point commun de la plupart des acteurs de la menace est qu'ils ne sont pas focalisés sur une seule marque. Bien sûr, nous aurons toujours des cas particuliers comme LockBit et les agents d'espionnage employés par des États, mais la plupart des cybercriminels n'ont pas d'identité de marque ni de loyauté envers des groupes de marque.
Vous pouviez voir les signes avant-coureurs lorsque le Ransomware-as-a-Service (RaaS) est devenu monnaie courante. Les affiliés étaient libres de venir et de partir, selon les règles du RaaS. Certains groupes RaaS font tout, de la fourniture de plateformes de hameçonnage pour l’accès initial à la négociation et la collecte des rançons. L'affilié n'a plus qu'à réussir son attaque. Si les pirates sont nommés dans les médias, c’est toujours une marque comme Akira, Medusa, Fog, Rhysida. Il peut arriver que le nom d'un affilié apparaisse si l'affilié est également une marque.
Avant le modèle RaaS, il existait des kits d'exploitation comme Angler et certaines plateformes de Spam-as-a-Service qui permettaient aux acteurs de la menace de louer des outils et des infrastructures. Ces modèles ont été les premiers éléments de la chaîne d'approvisionnement massive de la cybercriminalité que nous connaissons aujourd'hui. Le RaaS a été le premier modèle à séparer complètement l'identité, les opérations et l'image de marque. Cela a accéléré l'évolution des opérations décentralisées de cybercriminalité.
L’Agence de l'Union européenne pour la cybersécurité (ENISA) a examiné la croissance de cette structure modulaire basée sur les services dans son rapport 2022 ENISA Threat Landscape. Ce rapport met en évidence « la diversification, la professionnalisation et la spécialisation accrues des groupes de menaces » et la nature « mix and match » des différents affiliés impliqués dans différentes phases de l'intrusion. Le rapport contient de nombreuses autres conclusions qui montrent comment l'économie criminelle adopte les principes de la gig economy.
Talent modulaire et criminalité basée sur des projets
Examinons les rôles spécialisés que vous pourriez trouver dans une chaîne d'attaque par ransomware :
Accès initial : courtiers d'accès initial (IAB), spécialistes du phishing et de l'ingénierie sociale, appelants / interlocuteurs, développeurs d'exploits
Découverte, mouvement latéral, dénombrement : spécialistes de la reconnaissance/opérateurs d'intrusion, chargeurs de malware/spécialistes du déploiement de charges utiles, développeurs de scripts
Persistance, élévation des privilèges : experts en pénétration/opérateurs post-exploitation
Défense contre le piratage : experts en piratage et ingénieurs en obscurcissement
Exfiltration de données : voleurs de données, experts en exfiltration
Déploiement de ransomware : développeurs de ransomware, opérateurs d'infrastructures
Extorsion et négociation : auteurs de demandes de rançon, négociateurs/spécialistes en communication, gestionnaires de relations publiques/sites de divulgation
SafePay et HelloGookie utilisent des appelants et des interlocuteurs, Qilin a un avocat de garde, et Anubis met en relation les voleurs de données avec des experts en monétisation des données volées. DragonForce propose spécifiquement à d'autres groupes de collaborer sur des projets. Ces rôles ne sont pas tous remplis par des personnes distinctes, mais tous ces groupes possèdent des spécialités et des talents particuliers dans leur domaine de travail.
Collectifs et cartels
Une autre caractéristique de l’économie moderne de la cybercriminalité est que les acteurs malveillants peuvent opérer comme un collectif informel qui partage des ressources. Il existe quelques exemples très médiatisés, notamment le DragonForce Ransomware Cartel (DFRC), qui est une coalition décentralisée d'acteurs de la menace. Les membres du cartel peuvent lancer des attaques sous leur propre marque en utilisant les ressources de DragonForce, qui comprennent des malwares, des outils de gestion des attaques, du stockage et « une infrastructure fiable ». Les acteurs de menace peuvent utiliser ces ressources pour collaborer et partager entre eux comme ils le souhaitent, et les opérateurs principaux de DragonForce perçoivent la part convenue pour leurs services. En tant que cartel, le DFRC assure également les relations avec la presse et utilisera la publicité pour faire pression sur les victimes et tenter de dominer le paysage des menaces.
Scattered Spider est un autre exemple de groupe décentralisé d'acteurs spécialisés dans le social engineering, l'échange de cartes SIM et l'usurpation d'identité, des techniques souvent associées aux menaces persistantes avancées (APT). Lapsus$ est un groupe similaire spécialisé dans le social engineering et qui exploite l'authentification multifactorielle (MFA) pour accéder aux réseaux.
Les deux groupes ont émergé d’un collectif plus vaste et informel connu sous le nom de « The Com », qui est l’abréviation de « The Community ». Les associés de The Com apparaissent généralement par le biais de jeux en ligne et d’autres espaces Internet. Darknet Diaries a interviewé un membre de The Com en 2022. Vous pouvez écouter le podcast ou lire la transcription ici.
Ce que cela signifie pour les défenseurs
Ce modèle de gig rend l'économie de la cybercriminalité plus résiliente. Si un acteur de la menace n'est pas stoppé, il change simplement de lieu. Les équipes informatiques doivent réfléchir à la manière de se défendre contre ce modèle de menace de gig. La sécurité doit être large, basée sur le comportement et à plusieurs niveaux :
Utilisez la détection comportementale et la chasse aux menaces, et pas seulement des indicateurs connus de compromission.
Surveillez les schémas d'accès inhabituels et l'élévation des privilèges.
Formez les employés à reconnaître les tactiques de vishing, d'hameçonnage et d'usurpation d'identité.
Appliquez les principes du « zero trust » : partez du principe que tout est compromis et vérifiez chaque tentative d'accès.
Restez informé grâce aux renseignements sur les menaces concernant les outils et services souterrains émergents.
Vous pouvez compter sur Barracuda
Grâce à une plateforme de cybersécurité alimentée par l'IA, votre entreprise peut maximiser la protection et la cyberrésilience. Une plateforme unifiée qui offre une protection avancée, des analyses en temps réel et des capacités de réponse proactive permet de remédier aux lacunes en matière de sécurité, de réduire la complexité opérationnelle et d'améliorer la visibilité. En consolidant les fonctions de sécurité essentielles, une plateforme de cybersécurité peut minimiser votre charge administrative et simplifier vos opérations. Avec les conseils d'experts en cybersécurité, vous pouvez tirer parti de tous les avantages d'une plateforme de cybersécurité unifiée.