Les cybercriminels riches utilisent plus que jamais les hacks zero-day
Les groupes de ransomwares ont été en mesure de recruter de nouveaux talents et d’utiliser les ressources de leurs opérations de ransomwares et des montants insensés de revenus qu’ils tirent afin de se concentrer sur ce qui était autrefois le domaine de l’État. [hacking] groupes, explique James Sadowski, chercheur chez Mandiant.
Les zero-days sont généralement achetés et vendus dans l’ombre, mais ce que nous savons montre à quel point l’argent est en jeu. Un récent rapport du MIT Technology Review a détaillé comment une entreprise américaine a vendu un puissant iPhone zero-day pour 1,3 million de dollars. Zerodium, un fournisseur zero-day, a une offre permanente de payer 2,5 millions de dollars pour tout zero-day qui donne au pirate le contrôle d’un appareil Android. Zerodium fait alors demi-tour et vend l’exploit à une autre organisation, peut-être une agence de renseignement, avec une marge significative. Les gouvernements sont prêts à payer ce genre d’argent parce que les zero-days peuvent être un atout instantané dans le jeu mondial de l’espionnage, valant potentiellement plus que les millions qu’une agence pourrait dépenser.
Mais ils valent clairement beaucoup pour les criminels aussi. Un groupe de rançongiciels particulièrement agressif et adepte, connu sous le nom de code UNC2447, a exploité une vulnérabilité zero-day dans SonicWall, un outil de réseau privé virtuel utilisé dans les grandes entreprises du monde entier. Une fois que les pirates ont eu accès, ils ont utilisé un rançongiciel, puis ont fait pression sur les victimes pour qu’elles paient en menaçant de parler aux médias des piratages ou de vendre les données de l’entreprise sur le dark web.
Le groupe de rançongiciels le plus célèbre de l’histoire récente est peut-être Darkside, les pirates qui ont provoqué l’arrêt du Colonial Pipeline et, finalement, une pénurie de carburant dans l’est des États-Unis. Sadowski dit qu’eux aussi ont exploité au moins un jour zéro au cours de leur courte mais intense période d’activité. Peu de temps après être devenu mondialement célèbre et avoir attiré toute l’attention indésirable des forces de l’ordre qui accompagne la célébrité, Darkside a fermé ses portes, mais depuis lors, le groupe a peut-être simplement changé de nom.
Pour un pirate informatique, la meilleure chose après un jour zéro pourrait être une vulnérabilité d’un ou deux jours, une faille de sécurité qui a été récemment découverte mais qui n’a pas encore été corrigée par les cibles potentielles des pirates dans le monde entier. Les cybercriminels progressent également rapidement dans cette course.
Les groupes de cybercriminalité reprennent les acteurs de la menace parrainés par l’État à un rythme plus rapide, déclare Adam Meyers, vice-président senior du renseignement de la société de sécurité Crowdstrike. Les criminels observent les zero-days utilisés, puis sprintent pour coopter les outils à leurs propres fins avant que la plupart des cyber-défenseurs ne sachent ce qui se passe.
Ils comprennent rapidement comment l’utiliser, puis ils en tirent parti pour la poursuite des opérations, explique Meyers.