L'industrie de la cybercriminalité a coûté au monde trois mille milliards de dollars en 2015 et
devrait atteindre six mille milliards d'ici 2021. Tous les coûts sont évalués dans un complexe - par exemple, lors d'une attaque à l'aide de l'encodeur, nous considérons non seulement le montant de la rançon, mais également les coûts de la réduction de la productivité, du renforcement ultérieur des mesures de sécurité, des dommages à l'image et pas seulement.
La cybercriminalité en tant que service n'est pas quelque chose de fondamentalement nouveau. Les développeurs de logiciels malveillants proposent des produits ou des infrastructures sur le marché noir. Mais que vendent-ils exactement et combien cela coûte-t-il? Nous avons examiné plusieurs sites darknet pour trouver des réponses à ces questions.
Ransomware en tant que service
Il existe de nombreux packages de rançongiciels disponibles sur le darknet. Mises à jour, support technique, accès aux serveurs C&C, plans tarifaires - tout est comme le logiciel "blanc", à l'exception de l'interdiction législative.
Figure 1. Ransomware Ranion disponible sur darknetDans le cadre de l'un des packages, le ransomware Ranion est proposé, il est disponible par abonnement pendant un mois et un an. Il existe plusieurs plans tarifaires, les frais minimums commencent à 120 $ par mois. Pack Premium - 900 $ par an ou 1900 $ si le client souhaite ajouter des fonctions supplémentaires au fichier exécutable du programme.
Figure 2. Options d'abonnement à Cybercriminal RanionUn autre système de paiement est possible - les cybercriminels fournissent gratuitement des logiciels malveillants ou un accès à l'infrastructure C&C, puis prennent une partie des fonds reçus des victimes.
Quelle que soit la stratégie appliquée, nous constatons que le locataire entreprend d'autres opérations avec le logiciel malveillant. Il doit fournir le programme à l'appareil de la victime, par exemple, par courrier indésirable ou accéder à des serveurs vulnérables
via RDP .
Vente d'accès au serveur
Sur le darknet, vous pouvez trouver des services offrant des informations d'identification pour accéder aux serveurs via le protocole RDP. Le prix est de l'ordre de 8 à 15 $ par serveur, ils peuvent être triés par pays, système d'exploitation, même en fonction des sites de paiement que les utilisateurs ont visités à partir de ces serveurs.
Figure 3. Vente d'accès au serveur en Colombie via RDPDans l'image ci-dessus - un filtre par 250 serveurs disponibles situés en Colombie. Pour chaque serveur, des informations détaillées sont fournies, que vous pouvez voir dans l'image suivante.
Figure 4. Description de l'accès au serveur qui est vendu sur le darknetAprès avoir acheté l'accès, un cybercriminel peut l'utiliser pour lancer un programme de rançongiciel ou installer des logiciels malveillants plus secrets, un cheval de Troie ou un logiciel espion.
Location d'infrastructures
Certains opérateurs de botnet louent leur puissance de calcul pour envoyer des spams ou des attaques DDoS.
Le coût de ces attaques varie en fonction de la durée (de 1 à 24 heures) et de la quantité de trafic que le botnet peut générer à ce moment. Dans la figure ci-dessous, une variante avec une attaque de trois heures pour 60 $.
Figure 5. Exemple d'une offre de location pour une attaque DDoSCertains proposent de louer leurs (généralement petits) botnets pour les attaques sur les serveurs de jeux en ligne, comme Fortnite. Ils vendent souvent des comptes volés. Les réseaux sociaux sont utilisés pour promouvoir les «services», les propriétaires de compte ne sont pas particulièrement inquiets de l'anonymat.
Figure 6. Offres de location de Botnet sur Instagram
Figure 7. Les utilisateurs de YouTube montrent des attaques DDoS sur les serveurs FortniteVente de comptes PayPal et de cartes de crédit
Souvent, les opérateurs d'attaques de phishing réussies ne risquent pas d'utiliser leurs comptes volés par eux-mêmes. Il est plus sûr et plus rentable de revendre des proies à d'autres cybercriminels. Comme on peut le voir dans le tableau ci-dessous, ils prennent environ 10% des fonds dans un compte compromis.
Figure 8. Vente de comptes PayPal et de cartes de créditCertains vendeurs affichent fièrement de faux sites et d'autres outils de phishing.
Figure 9. Description du processus étape par étapeDans une présentation à
Segurinfo 2018, l' évangéliste ESET Tony Enscomb a noté que l'industrie du développement de logiciels malveillants ressemble maintenant à une société de logiciels. Les logiciels, produits et services offerts par les cybercriminels utilisent avec succès des programmes empruntés à la vente et à la distribution «légales».
Le darknet possède une industrie à part entière avec vente, marketing, service après-vente, publication de mises à jour logicielles et de manuels. L'écosystème compte de nombreux acheteurs nationaux, et le principal bénéfice revient aux grands acteurs disposant du réseau d'infrastructures et de l'assortiment les plus développés. Du fait du développement de «l'industrie», il existe une plus large disponibilité des logiciels malveillants, combinée à leur complication technologique.