GozNym, un important groupe de cybercriminalité basé en Europe de l’Est, a effectivement cessé ses activités. Les inculpations d’un tribunal fédéral américain dévoilées cette semaine révèlent que des personnalités clés de l’organisation ont été inculpées grâce à un effort international impliquant six pays ainsi qu’Europol et Eurojust.
Le groupe cybercriminel GozNym doit son nom au produit qu’il a distribué à ses clients criminels, une combinaison du dangereux cheval de Troie bancaire Gozi et du programme malveillant Nymaim. De fin 2015 à décembre 2016, le groupe a vendu ce logiciel malveillant via des forums criminels souterrains. Il était populaire car il ne nécessitait pas beaucoup de compétences techniques pour pouvoir être utilisé, et ils étaient capables de voler environ 100 millions de dollars américains sur des comptes bancaires à travers les États-Unis et l’Europe.
GozNym en action
GozNym a spécifiquement ciblé les combinaisons nom d’utilisateur / mot de passe des institutions financières. Les procureurs fédéraux ont estimé qu’il avait été fourni à au moins 200 clients criminels et avait infecté plus de 41.000 victimes. Les entreprises et les employés de banque étaient les cibles principales.
GozNym est en réalité un simple keylogger qui recherche spécifiquement les informations de connexion à la banque.
Les logiciels malveillants sont généralement envoyés aux cibles à l’aide d’un courrier électronique de phishing, le keylogger se cachant discrètement en arrière-plan et envoyant les informations de connexion à la cible distante. Les actes d’accusation indiquent que le groupe semble avoir joué un rôle supplémentaire en aidant leurs clients à blanchir de l’argent volé sur des comptes bancaires.
Le groupe sur la cybercriminalité était composé de membres de plusieurs pays d’Europe orientale. Les chefs de groupe Alexander Konovolov et Marat Kazandjian feront l’objet de poursuites en Géorgie, tandis que le «spécialiste de la prise de contrôle de compte» Krasimir Nikolov a été extradé de Bulgarie vers les États-Unis. L’administrateur ukrainien des services d’hébergement, Gennady Kapkanov, fait l’objet d’un procès en Ukraine pour le tir d’un fusil d’assaut Kalachnikov par la porte de son appartement sur des agents de la force publique.
Cinq ressortissants russes associés au groupe sont toujours en fuite, bien qu’ils ne semblent pas avoir joué de rôle déterminant pour leur permettre de relancer le projet. En outre, le réseau Avalanche utilisé pour héberger GozNym et de nombreuses autres formes de programmes malveillants a été démantelé à la fin de 2016.
La plupart des attaques de GozNym ont visé des petites entreprises. Les procureurs n’ont pas divulgué les noms commerciaux au public, mais ont mentionné un casino à Gulfport, MS (presque certainement le Island View Casino Resort), plusieurs cabinets d’avocats et divers entrepreneurs de construction du pays.
Groupes de cybercriminalité proposant «Le crime en tant que service»
Bien que le groupe de cybercriminalité GozNym soit novateur dans sa taille et son envergure, il ne s’agit pas du premier exemple de pirates informatiques proposant des packages «crime in a box» dans des lieux souterrains. Ces services sont très souvent centrés sur la Russie et proposés via des forums «dark web» en russe. Le gouvernement russe a toujours été prêt à ignorer la cybercriminalité tant que celle-ci est commise par des citoyens qui la maintiennent en dehors des frontières nationales et des alliés proches du pays.
Les cybercriminels font ce genre de travail depuis au moins la fin des années 2000. Leurs clients reçoivent généralement un ensemble d’e-mails d’hameçonnage à envoyer à leurs victimes ciblées; des liens dans les e-mails les dirigent vers des sites de programmes malveillants via des services d’hébergement «à toute épreuve» qui facilitent volontiers la cybercriminalité. La plupart de ces services d’hébergement se trouvent en Russie et en Chine ou aux alentours. Les criminels utilisent ensuite un réseau de «mules monétaires» internationales pour blanchir rapidement l’argent en petits morceaux qui ne risquent pas de déclencher des drapeaux rouges et qui sont difficiles à localiser.
Coordonner les mesures de répression internationales nécessaires pour démanteler des groupes de cybercriminalité tels que GozNym n’est pas un mince exploit, ce qui explique en partie pourquoi cette affaire est si remarquable. Le réseau de cybercriminalité de GozNym n’est plus dans l’image, mais la menace est loin d’être éliminée, surtout si vous êtes propriétaire d’une petite entreprise.
Protéger les petites entreprises de la fraude bancaire
Ce n’est pas un hasard si la plupart des cibles de GozNym étaient des entreprises relativement petites et axées sur la région. Les cybercriminels s’attendent à ce que les petites entreprises aient des défenses moins robustes, ce qui est particulièrement attrayant pour les acteurs criminels non techniques qui achètent des programmes de piratage préfabriqués comme celui-ci.
Tout commence généralement par un lien de phishing. Les criminels doivent charger des logiciels malveillants sur vos systèmes pour créer une ouverture permettant de saisir les informations de connexion. La sensibilisation à l’échelle de l’entreprise est essentielle. les criminels sont habiles à envoyer des courriels qui semblent provenir d’une source légitime, comme une compagnie de transport ou un fournisseur.
La première et la plus fondamentale défense contre les courriels de phishing consiste à mettre à jour régulièrement les systèmes d’exploitation et les logiciels (afin de garantir qu’ils disposent des derniers correctifs contre les vulnérabilités) et à utiliser un filtre anti-spam de qualité et un outil anti-malware. Quel que soit votre niveau de formation ou le nombre de mémos envoyés, les incidents surviendront chez les employés, mais cette première ligne de défense peut vous protéger quand ils le font.
En ce qui concerne la protection spécifique contre la fraude bancaire, l’authentification à deux facteurs (2FA) contribuera dans une très large mesure à empêcher les services de «piratage électronique» comme GozNym de voler de l’argent. Vous avez le choix entre 2FA, mais pour des informations aussi critiques que les informations bancaires, il est préférable d’utiliser une application d’authentification, voire une clé matérielle, plutôt que le message texte standard.
Des services avancés de protection contre le phishing sont disponibles et utilisent des techniques d’apprentissage automatique pour reconnaître automatiquement les éléments des courriers électroniques inhabituels ou déplacés. Ces services avancés sont particulièrement utiles lorsque l’attaquant se présente en partenaire de confiance de la société. Ils construisent des profils sur chaque organisation et individu avec lesquels vous communiquez régulièrement, et sont en mesure de détecter et de signaler signaler les comportements inhabituels et non caractéristiques.
Les préférences en matière de balance des attaques sont progressivement passées des grandes entreprises aux petites et moyennes entreprises (PME) au cours de la dernière décennie. Les PME ne disposent peut-être pas du même budget que les grandes entreprises pour la cybersécurité, mais elles courent un risque pour un coup paralysant ou même fatale, à leurs activités si les attaquants accèdent à leurs comptes bancaires. Outre les protections fondamentales décrites ci-dessus, une assurance complémentaire contre le phishing peut être un investissement judicieux pour les entreprises qui ne savent pas si leur police couvre pleinement les pertes indirectes résultant d’une fraude dans le transfert de fonds.
