Pages

samedi 9 janvier 2021

Europol indique que les cybercriminels recrutent activement des talents pour stimuler leurs activités illicites (IOCTA 2020)

 


C’est presque devenu un poncif : la cybercriminalité continue à s’aggraver au fil des ans. Sans surprise donc, le nouveau rapport d’Europol le rappelle une fois encore.
Il souligne également la grande capacité d’adaptation des cybercriminels. 
Le Darkweb devient le lieu d’échange de produits prêt-à-l’emploi d’activités illicites et de sous-traitance. Fait notable à ce sujet : les cybercriminels en quête d’innovation recrutent désormais des développeurs ou des consultants disposant de compétences spécifiques pour mener à bien leurs actions illicites.


Le cyber-raçonnage au sommet du podium

Les rançons restent l'une des menaces les plus importantes, sinon la plus importante, en particulier pour les organisations publiques et privées en Europe et ailleurs.
 Le nombre de cas de rançon a augmenté au cours de l'année dernière. Les auteurs de rançon continuent à cibler des organisations des secteurs public et privé de taille, de secteur et de nationalité différents, plutôt que des ordinateurs personnels (PC) individuels.

Les attaques de logiciels malveillants contre des organisations, qui jouent un rôle crucial dans les chaînes d'approvisionnement des grandes entreprises, ont constitué une évolution importante au cours de l'année écoulée.

En règle générale, les attaques par logiciel contre les grandes entreprises se déroulent en plusieurs étapes et elles sont exécutées par différents acteurs. L’étape initiale (exécutée par un groupe de criminels) d'une infection par un logiciel contre rançon consiste en l'intrusion dans l'ordinateur/réseau, qui se fait par l'utilisation de multiples vecteurs d'attaque et types de logiciels malveillants.
L'accès est ensuite vendu à différents cybercriminels qui procèdent au mappage de l'infrastructure informatique, à l'exfiltration des données, etc.

Le rapport d’Europol précise que les rançonneurs sont de plus en plus innovants. Ils ont mis en place de nouveaux moyens de faire pression sur leurs victimes pour qu'elles paient : il s’agit de voler leurs données sensibles et de les menacer de les publier en ligne.

Une fois que les criminels ont pris pied sur les réseaux des victimes, ce qui peut se faire de différentes manières, ils explorent les réseaux et exfiltrent les données, avant de livrer le logiciel contre rançon.
Si la victime ne paie pas la demande de rançon, les agresseurs publient les données sensibles de la victime en ligne ou les vendent au plus offrant.


Les logiciels malveillants, une entreprise qui ne connaît pas la crise

Outre les rançons, les services répressifs européens ont signalé que divers types de logiciels malveillants étaient largement présents dans les affaires de cybercriminalité auxquels ils étaient confrontés.
Les criminels ont converti certains chevaux de Troie bancaires traditionnels en logiciels malveillants modulaires pour couvrir un champ plus large de la collecte d'empreintes digitales des PC et sont vendus pour couvrir différents besoins (par exemple l’exfiltration).

Ces formes avancées de logiciels malveillants modulaires constituent une menace de premier plan dans l'UE. Selon ces services répressifs européens, les incidents ont augmenté régulièrement au cours de l'année écoulée et devraient s’accroître sensiblement dans les prochains mois.

Les logiciels malveillants comprennent généralement des chevaux de Troie ainsi que des outils d'accès à distance, afin de permettre aux criminels de prendre le contrôle à distance des ordinateurs infectés.

Les cybercriminels s'entendent entre eux en partageant des infrastructures, des services. Les logiciels malveillants de base et les logiciels malveillants en tant que service (Malware-as-a-Service, MaaS) réduisent les obstacles pour toute personnes désireuses qui de lancer dans des cyber-attaques.

Dans le même temps, les services répressifs européens ont signalé un intérêt accru des cybercriminels moins doués pour la technologie pour les solutions CaaS (cybercrime-as-a-service – cybercriminalité comme service).
En outre, elles observent une évolution des cybercriminels s’organisent en entreprise. Lorsque des compétences spécialisées sont nécessaires (par exemple, le codage ou la distribution de logiciels malveillants), ils peuvent engager des développeurs ou des consultants pour répondre à ce besoin.


Les attaques DDoS : s’en prendre aux plus faibles plutôt qu’aux plus forts

La troisième menace, l'attaque DDoS, a fêté son 20e anniversaire en 2019 et les enquêtes en cours montrent que ce type de menace est toujours présente dans le paysage cybercriminel.
Les cybercriminels qui se livrent à des attaques DDoS se sont adaptés aux mesures de protection de plus en plus strictes.
Au lieu de viser des cibles de grande valeur avec des attaques massives, les attaquants ont déplacé leur attention sur des organisations plus petites avec un système de sécurité moins mature. La réduction de leurs cibles permet aux attaquants d'utiliser le volume de manière plus efficace et de garantir un rendement maximal lorsque les attaques sont motivées par des raisons financières.
Les dispositifs connectés, également connus sous le nom d'Internet des objets (IoT), constituent une autre voie pour les attaques DDoS.


La pédocriminalité , une vague qui submerge les services répressifs

L'augmentation d'année en année du nombre de cas en ligne détectés s'est poursuivie.
Les autorités répressives de l'UE se voient confrontées à une masse considérable du matériel pédopornographique en ligne, au point qu'elle devient ingérable pour de nombreuses unités qui s'occupent de ce crime.
Qui plus est, le rapport indique la crise COVID-19 a révélé une augmentation supplémentaire de la diffusion en ligne de matériel pédopornographique.

Les communautés de délinquants en ligne font preuve d'une grande résilience et évoluent en permanence.
Parallèlement à l'activité des grandes communautés de délinquants par le biais des forums Darknet, le rapport constate une évolution impliquant des communautés plus petites qui partagent directement du matériel pédopornographique entre elles par le biais de plateformes de messagerie cryptée.

Fait aggravant : le cryptage renforcé de nombreux canaux de communication numériques signifie qu'il devient de plus en plus difficile pour les services de police d'enquêter sur ces affaires. Le rapport note une activité accrue sur les plateformes de communication cryptées au-delà de Tor, ce qui rend difficile la détection et l'investigation en ligne.

De plus, la conversion des applications de discussion non cryptées les plus populaires en statut crypté pose un risque substantiel de collecte et de diffusion de matériel pédopornographique de ces plateformes pour l'échange et favorise la communication entre les délinquants.

Si la majorité des types de fraude est bien connue, celle-ci connait un succès continu en raison de l'insuffisance des mesures de cybersécurité et d'un manque général de sensibilisation. Il est devenu plus facile pour les criminels de perpétrer des attaques grâce à une multitude de données facilement accessibles et à une communauté de CaaS (cybercrime-as-a-service – cybercriminalité comme service).


L'ingénierie sociale et l'hameçonnage : des phénomènes toujours très préoccupants

La majorité des menaces évoquées par le rapport ont pour toile de fond compromission des données à savoir la capacité des criminels d'accéder aux données d'identification des utilisateurs individuels ou d'accéder à de grandes bases de données contenant des informations potentiellement précieuses.

L'ingénierie sociale et l'hameçonnage restent à ce sujet une préoccupation majeure.
Ces deux types d'activités montrent une augmentation significative du volume et un accroissement de la sophistication.
Si une partie de cette augmentation peut être attribuée à l'amélioration des mécanismes de signalement, il est également devenu plus facile pour des criminels techniquement inexpérimentés de mener des campagnes de phishing en utilisant les infrastructures criminelles et les services de soutien existants - une tendance qui devrait se poursuivre à l'avenir selon le rapport.

Le phishing est devenu plus difficile à détecter, de nombreux courriels et sites de phishing étant presque identiques aux vrais. Dans le même temps, les campagnes de phishing sont devenues plus rapides et plus automatisées.

Le SMishing a connu une augmentation au cours des douze derniers mois. Ce procédé désigne l'envoi de messages texte frauduleux censés provenir d'expéditeurs de confiance, visant généralement les institutions financières et leurs clients.

En plus de recourir à une approche ciblée, les cybercriminels adoptent une approche plus souple, cherchant constamment à recueillir des données et des informations sensibles auprès des victimes, qu'ils peuvent utiliser pour permettre d'autres activités criminelles.
Le manque de sensibilisation à la sécurité couplée à la quantité importante de renseignements de source ouverte concernant les informations personnelles des employés des entreprises disponibles en ligne permettent aux criminels de recueillir les informations dont ils ont besoin.


La fraude au Président et la fraude à la facturation : des valeurs sûres

Les deux types les plus courants sont la fraude au Président (des criminels se faisant passer pour un cadre supérieur demandant des virements bancaires urgents) et la fraude à la facturation (des criminels se faisant passer pour des fournisseurs en demandant que les paiements légitimes soient dirigés vers un compte bancaire sous le contrôle du criminel, ou créant de nouvelles factures frauduleuses).

Le courriel compromis (Business email compromise  - BEC) s'effectue par l’entremise d’un faux compte de messagerie électronique hébergé par Office 365, dont l'accès est généralement obtenu par le biais d'un phishing de justificatifs d'identité préalables à la fraude.

Le rapport précise que ce type d'attaques provient encore principalement de l'Europe de l'Est, du Nigeria et d'autres pays africains. Les acteurs les plus sophistiqués de la menace viennent d'Israël.


La fraude à l'investissement en ligne : un phénomène exponentiel

Un autre "nouveau venu" relatif dans l'IOCTA de cette année est la fraude à l'investissement en ligne. De nombreux services répressifs et financiers ont identifié ce type de fraude comme l'un de ceux ayant connu la croissance la plus rapide au cours des douze derniers mois.

Elle a généré des millions de pertes et touché des milliers de victimes dans tous les pays de l'UE.
La fraude à l'investissement en ligne est un type de fraude dans lequel les criminels cherchent à attirer leurs victimes pour leur faire transférer de l'argent au moyen de stratagèmes attrayants leur faisant miroiter un enrichissement rapide.
Un certain nombre d'affaires a montré un niveau de complexité important, avec de vastes réseaux de sociétés fictives et de centres d'appel, ainsi que le développement de logiciels et de procédés de communication destinés à systématiser l'exploitation des victimes les détroussant jusqu'à leur dernier centime.


Une mutation et une aggravation des fraudes à la carte bleue
 
Des forums dédiés permettent aux cybercriminels ensuite de se débarrasser de leurs données de carte de crédit volées de manière efficace et relativement peu risquée.
Les forums offrent également des interfaces conviviales pour les fraudeurs qui cherchent à acheter ces cartes.

En même temps, le CaaS a créé une concurrence entre divers forums clandestins, où les cybercriminels proposent leur savoir-faire.
La fraude à la carte non présente (CNP), telle que le cardage et l'écrémage électronique, a augmenté au cours des douze derniers mois. Les criminels se déplacent vers de nouveaux secteurs et emploient de nouveaux modes opératoires.

Les criminels ont cessé de cibler l'industrie aérienne pour se tourner vers les secteurs de l'hébergement et de la location.
Le cardage a augmenté de même que l'écrémage électronique (également appelé écrémage numérique) avec l'apparition d'une criminalité organisée techniquement bien équipée.

Lors d'une attaque par écrémage électronique, les criminels injectent un code JavaScript malveillant dans les pages de paiement des commerçants, ce qui leur permet de saisir des données personnelles et des informations d'identification de carte de crédit.

Si les criminels s'attaquent parfois aux grandes entreprises lorsqu'ils en voient l'opportunité, l'écrémage électronique touche surtout les petits et moyens commerçants, qui n'ont pas les moyens de mettre en place une protection suffisante.
De ce fait, ils voient leur système compromis sans avoir conscience de l'activité criminelle qui se déroule sur leur site.


L’enjeu croissant de la fraude aux empreintes digitales

Capable de grande adaptation, les cybercriminels s’organisent pour contourner les parades mises en place par les commerçants en ligne qui utilisent de plus en plus des outils de vérification de l'identité par empreintes digitales.
A ce propos, les criminels ont commencé à obtenir et à vendre ces profils numériques receuillies pour commettre des fraudes.

Quant aux attaques logiques contre les distributeurs automatiques de billets et les points de vente, elles ont augmenté dans la plupart des États membres.
Le "lack-boxing" consiste à installer un dispositif externe connecté au distributeur de billets afin de contourner la nécessité d'une autorisation de carte pour distribuer de l'argent.

Les criminels ciblent principalement les anciens modèles de distributeurs automatiques de billets, pour lesquels les logiciels n'ont pas été mis à jour.



Dans le Darkweb, "small is beautiful"

L'environnement Darkweb est resté volatile et le rapport précise qu’aucun marché n’a clairement dominent la vie criminelle au cours de l'année écoulée par rapport aux années précédentes.
De nombreux démantèlements ont eu lieu en 2019 et depuis lors, des marchés continuent d'apparaître et de disparaître.
Ceci étant dit, le rapport indique qu’il existe un nombre croissant de marchés sûrs sur le plan opérationnel, tels que les marchés sans portefeuille et sans utilisateurs. En outre, certains marchés ont intentionnellement des cycles de vie relativement courts.

La diminution des grandes places de marché a entraîné une augmentation des marchés d’envergure plus modeste, qui répondent dans certains cas à des utilisateurs ou à des besoins spécifiques. Certains de ces marchés sont malgré tout en pleine croissance et, à mesure qu'ils obtiennent des réactions positives de la part des utilisateurs, ils deviennent de plus en plus stables.


Des activités clandestines à façade légale

Certaines plates-formes ayant pignon sur rue proposent également des biens et services sur le Darkweb. Les sites de commerce électronique officiels sont utiles aux cybercriminels, car ils leur permettent de présenter leurs produits et services sous couvert d’être des entreprises enregistrées régulièrement et donc être en ordre légalement.

Les utilisateurs ont également choisi d'utiliser des moyens de communication plus sûres.
La réputation de Protonmail, un service de courrier électronique crypté considéré précédemment comme ayant les faveurs des utilisateurs de Darkweb, a souffert après les accusations selon lesquelles il aidait les forces de l'ordre.
C'est pourquoi les utilisateurs de Darkweb se tournent désormais vers de nouveaux services de courrier électronique crypté tels que Sonar et Elude.  En plus des services de courrier électronique cryptés, les utilisateurs de Darkweb s'appuient de plus en plus sur des canaux de communication numériques populaires tels que Discord, Wickr et Telegram.

Les criminels ont commencé à utiliser d'autres plates-formes de marché décentralisées, axées sur la protection de la vie privée, telles que OpenBazaar et Particl.io pour vendre leurs marchandises illégales. L'émergence de plateformes décentralisées axées sur la protection de la vie privée n'est pas un phénomène nouveau dans l'écosystème Darkweb. Toutefois, ces plate-formes ont commencé à susciter un intérêt croissant au cours de l'année dernière.


Services de documents et de preuves d'identité : un usage immodéré par les cybercriminels

Les données personnelles, l'accès aux systèmes compromis, ainsi que les services destinés à lutter contre les logiciels malveillants, les logiciels de rançon et les attaques DDoS, sont autant d'éléments qui facilitent la cybercriminalité.
Les services de documents et de preuves d'identité se sont également multipliés sur le Darkweb.

Les auteurs utilisent généralement les services de documents et d'identité pour étayer leurs demandes de citoyenneté par exemple.
L’usage de ces services leur permet obtenir des lignes de crédit pour créer une entreprise et ouvrir des comptes bancaires intraçables, prouver leur résidence, commettre des fraudes à l'assurance et acheter des articles illicites.

L'offre de passeports contrefaits d'apparence légitime a évolué vers des passeports "légaux ou enregistrés".
Ces passeports permet de passer plusieurs tests d'authentification des services de passeport enregistré. Trend Micro Inc. explique que l'augmentation du nombre d'immigrants dans le monde et en la mise en place de passeports électroniques sont probablement à l'origine de cette tendance.


Une diversification de l’utilisation criminelle des cryptomonnaies

Au départ, les marchés de Darkweb reposaient uniquement sur Bitcoin.
Cependant, au cours des dernières années, la situation a changé. Un nombre croissant de marchés reconnaissent les avantages d'offrir plusieurs alternatives, notamment Litecoin, Ethereum, Monero, Zcash et Dash.
En 2019, l'écrasante majorité des transactions de bitcoin étaient liées à des activités d'investissement et de négociation, de sorte que, malgré des abus considérables, l'activité criminelle ne correspond qu'à 1,1 % du total des transactions.
Ce chiffre comprend les transactions provenant d'activités frauduleuses, du commerce Darkweb, des vols et des rançons.

La plupart des crimes signalés aux services répressifs comprenaient diverses formes d'extorsion.
Les deux dernières années ont vu une augmentation des spams d'extorsion, dans lesquels le cybercriminel tente d'effrayer la victime en lui promettant un événement catastrophique s’il ne reçoit pas de paiement en cryptomonnaies, généralement des bitcoins correspondant à des centaines, voire des milliers d'euros.
L'adoption croissante des cryptomonnaies augmente le nombre de victimes vulnérables. !

Il n'est donc pas surprenant que les vols dans les portefeuilles des particuliers et des entreprises soient devenus plus importants ces dernières années.
En 2019, dix cas de piratage de portefeuilles de cryptomonnaies confirmés, ce qui a entraîné le vol de 240 millions d'euros d'actifs.


La crise du COVID-19 : une épidémie de désinformation

Avec l'épidémie de COVID-19, la cybercriminalité est devenue plus populaire qu'auparavant alors que les confinements physiques devenaient la norme.
La pandémie a également donné lieu à des campagnes de désinformation. Les campagnes hybrides font appel à un large éventail de mesures, notamment des cyber-attaques et de la désinformation.
Ces campagnes ont un impact en termes de perturbation de services essentiels et de perte de confiance du public dans les institutions gouvernementales. Le rapport note qu’autant les cybercriminels chevronnés et les individus opportunistes diffusent la désinformation pour en tirer profit de différentes manières.


synthèse et traduction du texte par Pierre Berthelet alias securiteinterieure.fr


 

A lire également sur securiteinterieure.fr la synthèse en français des rapports précédents :

 

A lire également sur securiteinterieure.fr la synthèse en français des rapports d'Europol de 2020 :

 

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.