Les groupes de rançongiciels sont désormais assez riches pour s’offrir des failles zero day
Les cybercriminels continuent à trouver de nouveaux moyens de lancer des attaques, et certains sont maintenant prêts à acheter des vulnérabilités de type “zero-day”, une pratique généralement associée aux groupes soutenus par des États.
Les connaissances sur les vulnérabilités et les exploits peuvent atteindre un prix élevé sur les forums clandestins, car le fait de pouvoir en tirer parti peut être très rentable pour les cybercriminels. Cela est d’autant plus vrai s’il s’agit d’une vulnérabilité de type “zero-day” qui n’est pas connue des éditeurs de logiciels, car les attaquants savent que les victimes potentielles n’auront pas eu l’occasion d’appliquer les mises à jour de sécurité pour s’en protéger.
Les vulnérabilités de type “zero day” sont généralement déployées par des groupes d’attaquants soutenus par des États disposant de ressources importantes, mais une analyse réalisée par les chercheurs en cybersécurité de Digital Shadows montre qu’il y a de plus en plus de discussions sur les forums du dark web concernant le marché criminel des “zero days”.
“Ce marché, extrêmement coûteux et concurrentiel, est généralement l’apanage des groupes malveillants soutenus par des États. Cependant, certains groupes cybercriminels très connus (lire : les groupes de ransomware) ont amassé des fortunes considérables ces dernières années et peuvent désormais concurrencer les acheteurs traditionnels d’exploits “zero day””, explique Digital Shadows.
“Les États peuvent acheter des exploits zero-day de manière légale auprès d’entreprises qui se consacrent uniquement à la création de ces outils”, a déclaré à ZDNet Stefano De Blasi, chercheur en menaces chez Digital Shadows.
“Cependant, lorsque ces outils sont développés par des cybercriminels, il est probablement plus facile pour ces acteurs hors la loi d’y accéder; il n’y a cependant qu’une poignée d’acteurs qui pourraient se permettre le coût d’un exploit zero-day”.
Les vulnérabilités de ce type peuvent coûter des millions de dollars, mais c’est un prix qui pourrait être abordable pour un groupe de ransomware prospère qui gagne des millions avec chaque attaque de ransomware réussie. L’acheteur pourrait facilement récupérer ce qu’il dépense si la vulnérabilité fonctionne comme prévu en fournissant un moyen fiable d’infiltrer les réseaux.
Mais il existe une autre méthode pour gagner de l’argent avec les vulnérabilités, qui pourrait permettre de mettre ces vulnérabilités entre les mains de cybercriminels moins sophistiqués : l'”exploit-as-a-service”.
Au lieu de vendre purement et simplement la vulnérabilité, le cybercriminel qui l’a découvert peut la louer à d’autres. Il peut ainsi commencer à gagner de l’argent plus rapidement que s’il passait par le processus complexe de la vente, et il peut continuer à en tirer profit pendant longtemps. Ils ont également la possibilité de vendre le zero-day.
“Ce modèle permet aux développeurs de zero-day de générer des gains substantiels en louant la faille zero-day en attendant un acheteur définitif. De plus, avec ce modèle, les parties qui louent peuvent tester le zero-day proposé et décider plus tard d’acheter l’exploit sur une base exclusive ou non exclusive”, indique le rapport.
La vente à des groupes de pirates soutenus par des états reste pour l’instant l’option préférée de certains développeurs de zero-day, mais l’intérêt croissant que suscitent les exploits de ce type sur les forums clandestins montre que certains groupes cybercriminels se rapprochent du niveau des opérations soutenues par des États.
L’essor du modèle commercial “exploit-as-a-service” confirme que le milieu de la cybercriminalité ne cesse de se développer, tant en termes de sophistication que de professionnalisation. Certains groupes criminels de premier plan peuvent désormais rivaliser en termes de compétences techniques avec des acteurs soutenus par l’État ; de nombreux groupes de ransomware de premier plan, en particulier, ont désormais amassé suffisamment de ressources financières pour acheter des outils de type “zero day” “, explique M. De Blasi.
En raison de la nature des vulnérabilités de type “zero day”, il est difficile de défendre les réseaux contre elles, mais des pratiques de cybersécurité telles que l’application des mises à jour de sécurité critiques dès leur publication peuvent empêcher les cybercriminels de disposer d’une longue fenêtre pour tirer parti des vulnérabilités. Les organisations doivent également disposer d’un plan d’action si elles découvrent qu’elles ont été victimes d’une attaque.
“Des stratégies de réponse aux incidents bien rodées et documentées peuvent s’avérer cruciales pour répondre à tout attaquant ayant pu accéder à l’environnement d’une cible”, a déclaré M. De Blasi.
Source : “ZDNet.com”
