Pages

mardi 4 janvier 2022

iOCTA 2021 : Europol tire la sonnette d’alarme sur le degré de rapidité d’évolution de l'écosystème criminel numérique

 


L’office européen de police, Europol, a publié son rapport de l'état de la cybercriminalité en Europe et la lecture de ce document est à donner des sueurs froides. Selon ce document, la menace cybercriminelle s'aggrave nettement. Les auteurs d'actes délictueux sont plus organisés et mieux outillés. Résolus et structurés, ils n'hésitent pas à lancer des attaques en vagues et de différente nature pour parvenir à leurs fins.


Une cybercriminalité toujours plus structurée et toujours plus outillée

La pandémie mondiale et les changements de comportements associés à l’adaptation aux restrictions a conduit les cybercriminels à capitaliser sur nouvelles opportunités. Europol ajoute que les auteurs continuent d'être de plus en plus impitoyables et méthodiques dans leurs modes opératoires. 

L’évolution criminelle déjà à l’œuvre s’est amplifiées et les pratiques se sont consolidées. La pandémie mondiale et les changements de comportements associés à l’adaptation aux restrictions a stimulé l'innovation parmi des cybercriminels.

L'augmentation continue de la cybercriminalité et de la criminalité informatique est, dans une large mesure, permise par l'évolution et la maturation des marchés criminels qui fournissent tous les outils nécessaires, biens et services aux criminels, qu’ils soient novices et chevronnés. Les intrusions de réseau et l'ingénierie sociale sont alors des composantes d'une multitude des vecteurs d'attaque.

Toujours d'après Europol, les modes opératoires sont plus perfectionnées et plus ciblés et techniquement avancé.  Ce même phénomène est observable concernant les rançongiciels. Là encore, les attaques sont toujours plus perfectionnées et structurées. Elles sont couplées le cas échéant à des attaques DDoS (attaques effectuées contre rançon) qui reviennent à la mode. Sont à la mode justement, les crypto-monnaies, de même Wickr et Telegram, du fait de l’anonymat qu’ils procurent.

Il y a plus grave. Si pour Europol, il est évident que la numérisation affecte toutes les formes de criminalité, les méthodes et les outils utilisés par les cybercriminels sont de plus en plus adaptées dans d'autres domaines de la criminalité, si bien que l'écosystème criminel numérique continue d'évoluer à un rythme alarmant.


Une montée en gamme du phishing et de l’ingénierie sociale

La fraude aux investissements est devenue une préoccupation importante, car le phishing et l'ingénierie sociale ont encore augmenté pour générer un nombre considérable d’actes criminels. La pandémie de COVID-19 limitant les déplacements, l’augmentation des achats en ligne a multiplié les opportunités pour fraude.

La fraude par carte non présente apparaît sous contrôle et ce, en raison du fait que les restrictions COVID-19 freinent ce type de fraude liés aux voyages.

Or, en parallèle, la pandémie continue d'avoir un impact significatif sur le paysage de la fraude européenne au cours de la deuxième année de pandémie, puisque le phishing et l’ingénierie sociale restent les principaux vecteurs de fraude, augmentant à la fois en volume et en sophistication.

Les criminels continuent de faire des profits importants, car les types de fraude en ligne bien connus continuent d'être efficaces. Les criminels n'ont pas eu à réinventer leurs modes opératoires. Ils continuent seulement de les affiner, les rendant plus ciblés et techniquement avancé. 

La fraude à l'investissement prospère faisant que les victimes (particuliers et entreprises) subissent des pertes dévastatrices. Les Compromis d’e-mail professionnel (BEC) (c’est-à-dire des courriers électroniques frauduleux incitent les utilisateurs à faire des virements bancaires ou à transmettre des données sensibles commerciales ou personnelles), notamment la fraude au Président (courriers semblent provenir du PDG ou d’une directeur de l’entreprise) restent des menaces clés.

À la lumière de ces évolutions, le marché des biens et des services est en plein essor. Les informations personnelles et les informations d'identification sont très demandées car elles  contribuent à améliorer le taux de réussite de tous types d'attaques d'ingénierie sociale. Europol note que le marché des renseignements personnels s'épanouit à mesure que les ransomwares et les voleurs d'informations mobiles mettent sur le marché une abondance de matériel. Ce matériel (données personnelles ou bancaires par exemple) est commercialisable comme sous-produit de l'attaque primaire. Il n’est pas étonnant que les offres de Malware-as-a-Service (MaaS) ont augmenté, les programmes d'affiliation de rançongiciels constituant la tête de pont.


Des rançongiciels encore plus sophistiqués et plus efficaces

Europol note aussi une augmentation des programmes d'affiliation de rançongiciels qui consiste en une recherche de coopération entre pirates et développeurs d’autres logiciels malveillants. Les opérations de rançongiciels tendent à se concentrer sur des attaques de grande valeur qui visent de grandes organisations et leurs chaînes d'approvisionnement. Ces tendances ont été mises en évidence dans le précédent rapport IOCTA, mais la transition a été plus rapide que beaucoup auraient pu l'imaginer, avec de nombreuses intrusions à grande échelle comme celles de Serveur Microsoft Exchange, SolarWinds et Kaseya révélé au cours des 12 derniers mois.

Au cours de cette période, un certain nombre de développements relatifs aux menaces dominantes dans le paysage des menaces de la criminalité cyber-dépendante ont été identifiés. Des opérateurs de logiciels malveillants, en particulier ceux associés aux programmes d'affiliation de rançongiciels, ont amélioré leurs modes opératoires d'attaque et leurs fonctionnalités de logiciels malveillants. 

Ces programmes attaquent la chaîne d'approvisionnement pour perturber les réseaux de grandes entreprises et les institutions publiques. Ils utilisent des méthodes d’extorsion multicouche.

Les logiciels malveillants mobiles sont devenus un modèle économique évolutif à travers des attaques destinées à perturber les techniques d'authentification à deux facteurs et à travers le développement des campagnes de spam SMS par vagues.

Les attaques DDoS effectuées contre rançon semblent faire un retour car les criminels utilisent les noms de groupes de menace persistante avancée (APT) bien connus pour effrayer leurs victimes et les amener à se conformer aux demandes de rançon.


Des attaques DDoS toujours plus agressives

Les rançongiciels continuent d'être un élément clé des menaces cybercriminels. Les exploitants de ces rançongiciels ont de plus en plus profité du phénomène de télétravail généralisé en scannant les cibles potentielles. Les cybercriminels ont visé les connexions RDP (Remote Desktop Protocol) non sécurisées, de même que sur les réseaux privés virtuels (VPN). Cela leur permet d’extraire un ensemble d’informations qui y transitent.

Les opérateurs de logiciels malveillants ont tiré parti de l'augmentation des achats en ligne en utilisant les services de livraison comme leurres. Se faisant passer pour ces services, ils envoient un lien de phishing pour inciter leurs victimes à télécharger un code malveillant. Cette technique leur permet de voler leurs identifiants ou de perpétrer différentes formes de fraude à la livraison.

Europol note aussi des attaques par déni de service (DDoS) contre rançon. Cette recrudescence s’explique par une dépendance accrue aux services en ligne. 

L'année dernière, Europol a noté une augmentation des équipes criminelles spécialisées dans les rançongiciels déployant des méthodes de double extorsion par exfiltration des données des victimes et menaçant de le publier. Au cours des 12 derniers mois, l'arsenal des méthodes de coercition s'est élargi avec des démarchage de journalistes, de clients victimes, d’entreprises partenaires et des employés. De plus, bon nombre de programmes d'affiliation de rançongiciels les plus notoires se déploient par des attaques DDoS destinées à faire pression sur leurs victimes pour les amener à se conformer à la demande de rançon.


La percée des arnaques bancaires sur mobile et des attaques DDoS à motivation financière

Europol indique les chevaux de Troie bancaires mobiles ont fait une percée grâce au nombre croissant d'utilisateurs préférant effectuer leurs activités financières via des appareils mobiles. Selon Europol, les chevaux de Troie bancaires mobiles sont devenus une menace notable en raison de la popularité croissante de la banque mobile. Les criminels y ont recours en utilisant le prétexte du COVID-19 pour réaliser la vente en ligne de produits médicaux contrefaits et opérer des vishing (technique de hameçonnage par téléphone - arnaques vocales prenant le relais du phishing), le but étant de voler les identifiants de connexion.

Les criminels semblent également avoir perçu l’efficacité des attaques DDoS sur les systèmes de leurs cibles, entraînant une recrudescence des attaques DDoS à motivation financière.

En plus d'être opportuniste, les cybercriminels ont continué à mûrir leurs stratégies et leurs méthodes. Les cybercriminels continuent de se déplacer vers une sélection de cibles plus calculée. 

Les modi operandi des attaques DDoS à motivation financière sont de plus en plus populaires auprès de criminels effectuant également des fraudes en matière d'investissement. Les organisateurs de ces programmes établissent des centres d'appels locaux pour accroître leur crédibilité auprès de différentes victimes, parlant plusieurs langues, et effectuant par là-même un reciblage de leurs « clients ». En effet, une fois qu'une personne a réalisé que ses investissements ont été volés, les fraudeurs les recontactent sous prétexte de représenter des cabinets d'avocats ou des services de police, offrant à leur appui pour récupérer leurs fonds.


Le (gros) problème de l’anonymat

L'intimité et la facilité offerte par les moyens de communication, les possibilités offertes les plateformes de crypto-monnaie et de distribution sont bénéfiques dans tous les types d’activités illégales. En ligne, l'anonymat est exacerbé par l'adoption à grande échelle des technologies de cryptage, qui peuvent profiter tant aux utilisateurs légitimes qu’aux criminels simultanément, créant une situation paradoxale pour les décideurs. 

Pour lutter contre les menaces criminelles, les services de police ont besoin d’être en mesure d'avoir un accès aux données et d'effectuer des opérations d'infiltration licites. Les entreprises, notamment celles opérant en dehors de l'Union européenne, doivent améliorer les pratiques dites de « connaissance du client » (Know Your Customer (KYC))  ainsi que celles de divulgation d'informations. Les services de police ont besoin de plus de formation et d'outils pour avoir des agents capables de découvrir et de mettre hors d’état de nuire une activité criminelle dans le domaine numérique. Enfin, il est essentiel de continuer d’améliorer les connaissances générales des technologies de l'information (TI) et de la sensibilisation aux risques cybercriminels et ce, à l’heure où la cybercriminalité s’ancre toujours davantage dans la société.


L’engouement croissant des cybercriminels pour les crypto-monnaies, Wickr et Telegram

Les utilisateurs du Dark Web sont de plus en plus enclins à adopter des crypto-monnaies anonymes,comme Monero, et des services de l'échange prestations de service.

Bien que Bitcoin reste actuellement la référence crypto-monnaie de choix pour les utilisateurs du Dark Web et vendeur. Toutefois, Monero et d’autres cryptoactifs augmentent en popularité. Les criminels convertissent de plus en plus leurs gains illicites réalisés en Bitcoin, en d’autres crypto-monnaies en ayant recours à des services de conversion, ce qui leur permet de dissimuler l’origine des fonds. Le matériel pédopornographique est activement négocié sur les réseaux peer-to-peer (P2P) et le Dark Web, où les crypto-monnaies sont également utilisées pour les paiements. 

L'augmentation des services de police ces dernières années a incité les administrateurs des marchés criminels en ligne à améliorer leur sécurité opérationnelle pour protéger leurs profits. Ils ont mis en place de nouveaux mécanismes de protection contre les attaques DDoS émanant de concurrents. Ils préfèrent l'hébergement de leurs services dans les pays où la coopération policière et judiciaire est plus difficile. En outre, les criminels augmentent leur sécurité opérationnelle en cachant leurs activités en ligne, en utilisant des canaux de communication plus sûrs et masquant le mouvement des fonds illicites. 

Or, de nombreuses plateformes ont cessé d'automatiser leur cryptage en « assez bon niveau de confidentialité » (PGP) pour empêcher le décryptage des messages échangés en cas où les services de police investissent le marché. Les marchés illégaux se sont dès lors tournés vers différents canaux de communication cryptée. Ceux-ci incluent des canaux comme Telegram et Wickr.

A ce sujet, les utilisateurs du Dark Web utilisent de plus en plus Wickr et Telegram comme canal de communication. 

En ce qui concerne le Dark Web précisément, les services répressifs de l'UE ont signalé peu de changements majeurs dans le paysage des menaces. L'infrastructure des places de marché du Dark Web n'a pas radicalement changé. En outre, certains développements qui avaient déjà eu lieu depuis certaines années sont maintenant devenues plus courantes.


La pédopornographie, un fléau en recrudescence

Europol note une forte augmentation des activités de pédopiégeage (c’est-à-dire une stratégie mise en place par un adulte mal intentionné pour créer un lien de confiance avec des mineurs afin de commettre des abus ou des actes d’ordre sexuel ou encore de les exploiter sexuellement) sur les réseaux sociaux, les médias et les plateformes de jeux en ligne.

Pendant les confinements, les mineurs passent une partie encore plus importante de leur journée en ligne, ce qui a conduit à une forte augmentation du matériel pédopornographique en ligne. Ils sont maintenant plus susceptibles de produire eux-mêmes ce matériel et de le partager. 

La production de produits pédosexuel auto-générés, c’est-à-dire émanant des mineurs eux-mêmes, est une menace majeure. Ce matériel contient des photos et vidéos d’enfants de plus en plus jeunes.

Ces matériels sont captés, voire extorqués par certains cybercriminels, par exemple par des formes de chantage et de coercition.

La distribution de contenus pédosexuels ont été influencés par l'augmentation de la présence non surveillée d'enfants en ligne. La prolifération des applications de messagerie cryptées et les plateformes de médias sociaux a un impact sur les méthodes de diffusion de ces contenus pédosexuels parmi les délinquants. A ce propos, l’activité globale d’échange de matériel pédosexuel a augmenté considérablement sur les réseaux P2P. 

Quant au Dark Web, il reste une plateforme d'échange privilégié de matériel pédosexuel.


synthèse et traduction du texte par Pierre Berthelet alias securiteinterieure.fr


 

A lire  sur securiteinterieure.fr la synthèse en français des rapports précédents :

 

A lire également sur securiteinterieure.fr la synthèse des derniers projets législatifs et plans d'action en matière de cybersécurité :

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.