L’Inde dans le top 5 des pays pour l’accès aux réseaux d’entreprise : rapport
Français
Groupe-IB, un leader mondial de la cybersécurité basé à Singapour, a présenté ses recherches sur les cybermenaces mondiales intitulées “Tendances de la criminalité high-tech 2021/2022″ lors de sa conférence annuelle CyberCrimeCon’21 sur la chasse aux menaces et le renseignement. Dans le cadre du rapport, qui explore les développements de la cybercriminalité au S2 2020 – S1 2021, les chercheurs du Groupe-IB analysent la complexité croissante du paysage mondial des menaces et soulignent en particulier le rôle croissant des alliances entre les acteurs de la menace. La tendance se manifeste par des partenariats entre les opérateurs de ransomware et les courtiers d’accès initial sous le modèle Ransomware-as-a-Service. Les escrocs se regroupent également en clans pour automatiser et rationaliser les opérations frauduleuses. Notamment, les cybercrimes individuels, tels que le carding, sont en déclin pour la première fois depuis un certain temps.
Pour le 10e année consécutive, le Rapport sur les tendances de la criminalité de haute technologie analyse les divers aspects des opérations de l’industrie de la cybercriminalité, examine les attaques et fournit des prévisions sur le paysage des menaces pour divers secteurs économiques. Le rapport a été pour la première fois divisé en cinq grands volumes avec des focus différents — ransomware, la vente d’accès aux réseaux d’entreprise, cyber guerre, le secteur financier des menaces, et Hameçonnage et escroquer. Les prévisions et recommandations décrites dans Hi-TechCrime Trends 2020-2021 visent à prévenir les dommages et les temps d’arrêt pour les entreprises du monde entier.
Sommaire
Ventes d’accès aux réseaux d’entreprise : les entreprises de l’APAC sont à la mode
Au S2 2020 – S1 2021, le marché de la vente d’accès aux réseaux d’entreprise a continué de prospérer et a atteint 7 165 387 $ à l’échelle mondiale, ce qui est un 16% augmentation par rapport à la période correspondante de l’année précédente. Il est à noter que certains vendeurs ne précisent pas les coûts des lots qu’ils proposent, ce qui crée certains obstacles à l’évaluation de la taille réelle de ce marché.
Rien qu’en APAC, le coût total de tous les accès aux entreprises de la région disponibles dans le métro s’élevait à 3 307 210 $ au cours de la période d’examen, ce qui représente près d’un 7 fois augmenter d’année en année. La plupart des accès en vente appartenaient à des organismes de Australie (36%), Inde (23 %), et Chine (14 %).
Australie et Inde ont même atteint le top 5 mondial des pays, dont l’accès aux entreprises se trouve le plus souvent dans l’underground, avec respectivement 4 % et 3 % de part de marché. Ils sont précédés du Royaume-Uni (4%), France (5%), et le États-Unis (30 %).
La majorité des entreprises concernées appartenaient à la production, à l’éducation, aux services financiers, à la santé et au commerce. Au cours de la période considérée, le nombre d’industries exploitées par les courtiers en accès initial a augmenté de 75% de 20 à 35, ce qui indique que les cybercriminels venaient juste de commencer à se rendre compte de la variété des victimes potentielles. Cela se reflète également dans le fait que le nombre de pays touchés par les vendeurs d’accès aux réseaux d’entreprise a augmenté de 62 % de 42 à 68. Rien qu’en APAC, le nombre de pays attaqués a augmenté de 50% de dix à 15, après avoir ajouté Singapour, Indonésie, Malaisie, et Corée du Sud.
Le nombre de courtiers d’accès initial continue également de croître, le nombre de vendeurs d’accès s’élevant à 262 au S2 2020-S1 2021. Au moins 229 parmi eux, ce sont des débutants sur le marché. À titre de comparaison, au cours de la période d’examen précédente, le nombre de vendeurs actifs s’élevait à 86. Le nombre total d’accès proposés à la vente atteint 1 099, par rapport à 362 un an plus tôt.
Les cybercriminels qui achètent l’accès aux réseaux d’entreprise le monétisent fréquemment à l’aide de programmes d’affiliation de ransomware-as-a-service. Les analystes de Group-IB s’attendent à ce que la demande croissante de ransomware contribue à l’émergence de nouveaux courtiers d’accès initial et à l’augmentation générale du nombre d’offres d’accès.
Corporansom : instruments de pression sur les victimes et RaaS
Au cours de la période considérée, les analystes de Group-IB ont enregistré 21 nouveaux programmes Ransomware-as-a-Service (RaaS), qui est un 19% augmentation par rapport à la période précédente. Au cours de la période considérée, les cybercriminels ont maîtrisé l’utilisation des Data Leak Sites (DLS), des ressources Web qui sont utilisées comme source supplémentaire de pression sur leurs victimes pour leur faire payer la rançon sous peine de divulguer leurs données en public. Cependant, en pratique, même si la rançon est payée, la victime peut trouver ses données disponibles en public. Le nombre de nouvelles ressources DLS a plus que doublé au cours de la période d’examen et atteint 28, par rapport à 13 au S2 2019 – S1 2020. Au total, les données sur 2 371 entreprises ont été publiées sur les sites Web de DLS au fil du temps. Il s’agit d’une augmentation sans précédent 935% par rapport à la période d’examen précédente, lorsque les données sur 229 victimes a été rendue publique.
Il est à noter qu’au cours des trois premiers trimestres de cette année, les opérateurs de ransomware ont publié 47% plus de données sur les entreprises attaquées que sur l’ensemble de 2020. Compte tenu du fait que les cybercriminels ne publient les données que sur environ dix% de leurs victimes, le nombre réel de victimes d’attaques de ransomware est des dizaines de plus. Le nombre d’entreprises qui optent pour le paiement de la rançon est estimé à 30%.
Selon les données des ressources DLS, la région APAC se classait au troisième rang en termes de nombre d’entreprises attaquées en 2020 et 2021, précédée par l’Europe et l’Amérique du Nord. Au cours des trois premiers trimestres de cette année, la part de l’Asie-Pacifique dans la distribution régionale est passée de 6,1% à 9,1%. Au cours de l’année en cours, la majorité des victimes d’attaques de ransomware connues du public en APAC provenaient de Australie (41), Inde (24), Japon (16), Taïwan (16), et Indonésie (12).
À l’échelle mondiale, la majorité des entreprises ciblées par les opérateurs de ransomware au cours de l’année en cours provenaient des États-Unis (49,2%), Canada (5,6%) et la France (5,2%), alors que la majorité des organisations concernées appartenaient au secteur manufacturier (9,6%), immobilier (9,5%) et le transport (8,2%).
Après avoir analysé le ransomware DLS en 2021, les analystes de Group-IB ont conclu que Conti est devenu le groupe de ransomware le plus agressif, qui a rendu publiques des informations sur 361 victimes (16,5% de toutes les entreprises victimes dont les données ont été publiées sur DLS), suivi de Lockbit (251), Avaddon (164), REvil (155) et Pysa ( 118). Le Top 5 de l’année dernière était le suivant : Maze (259), Egregor (204), Conti (173), REvil (141) et Pysa (123).
Retenir le cardage
Au cours de la période considérée, le marché du carding a chuté de 26% de 1,9 milliard de dollars à 1,4 milliard de dollars par rapport à la période précédente. Une telle baisse s’explique par la baisse du nombre de dumps (les données stockées sur la piste magnétique de la carte bancaire) proposés à la vente : le nombre d’offres a diminué de 17% de 70 millions dossiers à 58 millions à la lumière de la fermeture du plus grand magasin de cartes Cachette du Joker. Pendant ce temps, le prix moyen d’un vidage de carte bancaire est passé de 21,88 $ à 13,84 $, tandis que le prix maximum est passé de 500 $ à 750 $.
Une tendance inverse a été enregistrée sur le marché de la vente de données textuelles de cartes bancaires (numéros de cartes bancaires, dates d’expiration, noms de propriétaires, adresses, CVV) : leur nombre s’est envolé de 36% de 28 millions dossiers à 38 millions, ce qui peut s’expliquer entre autres par l’augmentation du nombre de ressources Web de phishing imitant des marques célèbres au milieu de la pandémie. Le prix moyen des données textuelles est passé de 12,78 $ à 15,2 $, tandis que le maximum montait en flèche 7 fois de 150 $ à un sans précédent 1 000 $.
En APAC en particulier, le marché du cardage est passé de 328,7 millions de dollars à 291,5 millions de dollars dans la période d’examen. Cela s’est accompagné de l’augmentation du prix moyen des données de cartes de texte de 14,23 $ à 20,26 $ et une chute spectaculaire du prix d’une décharge de 75,17 $ à 39,57 $.
Programmes partenaires d’hameçonnage et d’escroquerie
Une autre cohorte de cybercriminels qui ont activement forgé des partenariats au cours de la période d’examen étaient les escrocs. Au cours des dernières années, les programmes d’affiliation de phishing et d’escroquerie sont devenus très populaires. Les recherches menées par Group-IB montrent qu’il existe plus que 70 programmes d’affiliation de phishing et d’escroquerie. Les participants visent à voler de l’argent, ainsi que des données personnelles et de paiement. Au cours de la période considérée, les auteurs de menaces qui ont participé à de tels stratagèmes ont empoché au moins 10 millions de dollars au total. Le montant moyen volé par un membre du programme d’affiliation frauduleux est estimé à 83 $.
Les programmes d’affiliation impliquent un grand nombre de participants, ont une hiérarchie stricte et utilisent des infrastructures techniques complexes pour automatiser les activités frauduleuses. Cela permet de faire évoluer les campagnes de phishing et de les personnaliser pour les banques, les services de messagerie populaires, les marchés, les entreprises de logistique et d’autres organisations. Les programmes d’affiliation d’hameçonnage et d’escroquerie initialement axés sur la Russie et d’autres pays de la CEI ont récemment commencé leur migration en ligne vers l’Europe, l’Amérique, l’Asie et le Moyen-Orient. Ceci est illustré par Classiscam. Group-IB est au courant d’au moins 71 marques de 36 pays, personnifié par les membres du programme d’affiliation.
