Ces principales menaces démontrent la complexité de la lutte contre la cybercriminalité et soulignent que les criminels n’innovent dans leur comportement criminel que lorsque les modes opératoires existants sont devenus vains ou que des opportunités plus rentables se présentent.

Essentiellement, les nouvelles menaces ne proviennent pas seulement des nouvelles technologies, mais aussi de vulnérabilités connues des technologies existantes, qui restent non corrigées pendant de longues périodes.

Les services répressifs doivent donc non seulement se concentrer sur l’impact potentiel des futurs progrès technologiques en matière de cybercriminalité, tels que l’intelligence artificielle, mais aussi aborder la cybercriminalité dans un sens global, y compris la prévention, la sensibilisation et le renforcement de la cyberéducation et de la résilience.

La sixième évaluation annuelle de la menace liée à la criminalité organisée sur Internet (IOCTA) d’Europol offre un point de vue unique en matière d’application de la loi sur les menaces émergentes et les développements clés dans le domaine de la cybercriminalité au cours de l’année écoulée.

Phénomènes transversaux de la cybercriminalité

• Les données sont au centre des scènes de crime. Les cybercriminels ciblent les données pour leurs crimes. La sécurité des données et la sensibilisation des consommateurs sont donc primordiales pour les organisations. La sécurité des données a de nouveau pris une place centrale après la mise en œuvre du règlement général sur la protection des données (RGPD).

• La cybercriminalité est en train de mûrir et de devenir plus audacieuse, se concentrant davantage sur des cibles plus vastes et plus rentables.

Principales tendances 2019 de l’IOCTA

Les ransomwares demeurent la principale menace de cybercriminalité en 2019. Même si les forces de l’ordre ont constaté une baisse du volume global des attaques de ransomwares, celles qui sont commises sont plus ciblées, plus rentables et entraînent des dommages économiques plus importants.

Tant que les ransomwares fournissent un revenu relativement facile aux cybercriminels et continuent de causer des dommages et des pertes financières considérables, il est probable que cela reste la principale menace en matière de cybercriminalité.

Attaques DDoS: si l’utilisation de ransomware pour refuser à une organisation l’accès à ses propres données peut constituer la principale menace de l’IOCTA de cette année, le fait de refuser à d’autres utilisateurs l’accès à ses données ou services est une autre menace importante.

Le déni de service distribué (DDoS) était l’une des menaces les plus importantes signalées à Europol. De nombreuses banques signalent que les attaques par DDoS demeurent un problème important, entraînant une interruption des services bancaires en ligne, créant ainsi un impact plus public que des dommages financiers directs.

Surcharge de données dans le matériel de lutte contre l’exploitation sexuelle des enfants: la quantité de matériel détecté en ligne par les forces de l’ordre et le secteur privé continue d’augmenter. Cette augmentation alourdit considérablement les ressources en matière d’application de la loi.

Un développement qui pourrait être préoccupant pour l’exploitation sexuelle d’enfants en ligne est l’amélioration continue de deepfakes. La technologie Deepfake est une technique basée sur l’IA qui place des images ou des vidéos sur une autre vidéo.

Les contenus explicites auto-générés sont de plus en plus courants, poussés par un nombre croissant de mineurs ayant accès à des smartphones de haute qualité. Le manque de sensibilisation aux risques du côté des mineurs aggrave le problème.

Villes intelligentes: les attaques de ransomware les plus visibles en 2019 étaient celles contre les gouvernements locaux, en particulier aux États-Unis. On verra si cette tendance deviendra également une menace pour les États membres de l’UE ou ailleurs, mais les expériences aux États-Unis sont un avertissement.

Les forces de l’ordre réagissent de plus en plus aux attaques d’infrastructures critiques. Les forces de l’ordre semblent avoir été impliquées dans un éventail beaucoup plus large d’enquêtes sur des attaques d’infrastructures critiques, notamment dans les secteurs de l’énergie, des transports, de l’approvisionnement en eau et de la santé.

Il est peu probable que des criminels motivés financièrement attaquent ces infrastructures, car de telles attaques attirent l’attention de multiples autorités et posent donc un risque disproportionné.

Le réseau Darknet devient de plus en plus fragmenté: il y a de plus en plus de magasins à fournisseur unique et de marchés plus fragmentés et fragmentés sur Tor, y compris ceux proposant des langues spécifiques. Certains groupes du crime organisé fragmentent également leurs activités sur un éventail de monikers et de marchés en ligne, posant ainsi de nouveaux défis pour les forces de l’ordre.

Les marchés des chaînes de blocs: en plus de contourner les forces de l’ordre, les développeurs criminels sont également motivés par la nécessité d’accroître la confiance de leurs clients dans Tor, à la fois en termes d’anonymat mais aussi en réduisant les risques d’escroquerie à la sortie.

Black Dog, dont le lancement est prévu pour août 2019, en est un exemple. Il prétend être le «tout premier marché de la cryptographie véritablement décentralisé» et dépend de la blockchain Ethereum pour faciliter les transactions.

Compromis pour le courrier électronique professionnel: les données reviennent à la discussion du compromis concernant le courrier électronique commercial, qui est une priorité cruciale signalée à la fois par les États membres et le secteur privé. Bien que ce crime ne soit pas nouveau, il évolue.

Cette escroquerie exploite la manière dont les entreprises mènent leurs activités, en tirant parti de structures d’entreprise distinctes et des lacunes internes dans les processus de vérification des paiements.

Protocole d’intervention d’urgence des services répressifs de l’UE: la réponse coordonnée aux cyberattaques à grande échelle reste un défi majeur pour une coopération internationale efficace dans l’écosystème de la cybersécurité.

L’élaboration du protocole d’intervention d’urgence des services répressifs de l’Union européenne a considérablement amélioré la préparation aux cyber-actes en abandonnant les mesures de réaction incongrues et réactives, incohérentes, et en agissant comme des catalyseurs essentiels des capacités d’intervention rapide prenant en charge la cyber-résilience.

Catherine De Bolle, directrice exécutive d’Europol, a déclaré: «L’IOCTA de cette année montre que, même si nous devons anticiper sur les défis que les nouvelles technologies, la législation et l’innovation criminelle peuvent apporter, nous ne devons pas oublier de regarder derrière nous. Les «nouvelles» menaces continuent de naître des vulnérabilités des processus et des technologies établis.“

«En outre, la longévité des cybermenaces est évidente, de nombreux modes opératoires établis de longue date et établis persistent, malgré tous nos efforts. Certaines menaces d’hier restent pertinentes aujourd’hui et continueront de nous interpeller demain.“

«En outre, l’impact mondial de la cybersécurité sur la scène mondiale a porté la menace de la cybercriminalité à un autre niveau. À Europol, nous pensons que des outils essentiels doivent être développés pour tenir les cybercriminels à distance. C’est d’autant plus important que d’autres secteurs criminels sont de plus en plus cyber-facilités. »

Le commissaire européen chargé de la migration, des affaires intérieures et de la citoyenneté, Dimitris Avramopoulos, a déclaré: «Les cybercriminels sont de plus en plus audacieux et nous devons le faire dans notre réponse européenne commune. Je suis heureux de constater que les efforts de l’Europe pour lutter contre les cyber-attaques à grande échelle transfrontalières donnent des résultats.“

«Mais je suis bouleversé par le fait que le matériel pédopornographique continue de prospérer en ligne. Nous devons tous intensifier nos efforts à tous les niveaux, car la cybersécurité n’est pas seulement la tâche des forces de l’ordre nationales. C’est une responsabilité pour nous tous envers nos citoyens. “

L’article Cybercriminalité arrive à maturité et se concentre sur des cibles rentables est apparu en premier sur TTCgroupe.

Le groupe cybercriminel GozNym doit son nom au produit qu’il a distribué à ses clients criminels, une combinaison du dangereux cheval de Troie bancaire Gozi et du programme malveillant Nymaim. De fin 2015 à décembre 2016, le groupe a vendu ce logiciel malveillant via des forums criminels souterrains. Il était populaire car il ne nécessitait pas beaucoup de compétences techniques pour pouvoir être utilisé, et ils étaient capables de voler environ 100 millions de dollars américains sur des comptes bancaires à travers les États-Unis et l’Europe.

GozNym en action

GozNym a spécifiquement ciblé les combinaisons nom d’utilisateur / mot de passe des institutions financières. Les procureurs fédéraux ont estimé qu’il avait été fourni à au moins 200 clients criminels et avait infecté plus de 41.000 victimes. Les entreprises et les employés de banque étaient les cibles principales.

GozNym est en réalité un simple keylogger qui recherche spécifiquement les informations de connexion à la banque.

Les logiciels malveillants sont généralement envoyés aux cibles à l’aide d’un courrier électronique de phishing, le keylogger se cachant discrètement en arrière-plan et envoyant les informations de connexion à la cible distante. Les actes d’accusation indiquent que le groupe semble avoir joué un rôle supplémentaire en aidant leurs clients à blanchir de l’argent volé sur des comptes bancaires.

Le groupe sur la cybercriminalité était composé de membres de plusieurs pays d’Europe orientale. Les chefs de groupe Alexander Konovolov et Marat Kazandjian feront l’objet de poursuites en Géorgie, tandis que le «spécialiste de la prise de contrôle de compte» Krasimir Nikolov a été extradé de Bulgarie vers les États-Unis. L’administrateur ukrainien des services d’hébergement, Gennady Kapkanov, fait l’objet d’un procès en Ukraine pour le tir d’un fusil d’assaut Kalachnikov par la porte de son appartement sur des agents de la force publique.

Cinq ressortissants russes associés au groupe sont toujours en fuite, bien qu’ils ne semblent pas avoir joué de rôle déterminant pour leur permettre de relancer le projet. En outre, le réseau Avalanche utilisé pour héberger GozNym et de nombreuses autres formes de programmes malveillants a été démantelé à la fin de 2016.

La plupart des attaques de GozNym ont visé des petites entreprises. Les procureurs n’ont pas divulgué les noms commerciaux au public, mais ont mentionné un casino à Gulfport, MS (presque certainement le Island View Casino Resort), plusieurs cabinets d’avocats et divers entrepreneurs de construction du pays.

Groupes de cybercriminalité proposant «Le crime en tant que service»

Bien que le groupe de cybercriminalité GozNym soit novateur dans sa taille et son envergure, il ne s’agit pas du premier exemple de pirates informatiques proposant des packages «crime in a box» dans des lieux souterrains. Ces services sont très souvent centrés sur la Russie et proposés via des forums «dark web» en russe. Le gouvernement russe a toujours été prêt à ignorer la cybercriminalité tant que celle-ci est commise par des citoyens qui la maintiennent en dehors des frontières nationales et des alliés proches du pays.

Les cybercriminels font ce genre de travail depuis au moins la fin des années 2000. Leurs clients reçoivent généralement un ensemble d’e-mails d’hameçonnage à envoyer à leurs victimes ciblées; des liens dans les e-mails les dirigent vers des sites de programmes malveillants via des services d’hébergement «à toute épreuve» qui facilitent volontiers la cybercriminalité. La plupart de ces services d’hébergement se trouvent en Russie et en Chine ou aux alentours. Les criminels utilisent ensuite un réseau de «mules monétaires» internationales pour blanchir rapidement l’argent en petits morceaux qui ne risquent pas de déclencher des drapeaux rouges et qui sont difficiles à localiser.

Coordonner les mesures de répression internationales nécessaires pour démanteler des groupes de cybercriminalité tels que GozNym n’est pas un mince exploit, ce qui explique en partie pourquoi cette affaire est si remarquable. Le réseau de cybercriminalité de GozNym n’est plus dans l’image, mais la menace est loin d’être éliminée, surtout si vous êtes propriétaire d’une petite entreprise.

Protéger les petites entreprises de la fraude bancaire

Ce n’est pas un hasard si la plupart des cibles de GozNym étaient des entreprises relativement petites et axées sur la région. Les cybercriminels s’attendent à ce que les petites entreprises aient des défenses moins robustes, ce qui est particulièrement attrayant pour les acteurs criminels non techniques qui achètent des programmes de piratage préfabriqués comme celui-ci.

Tout commence généralement par un lien de phishing. Les criminels doivent charger des logiciels malveillants sur vos systèmes pour créer une ouverture permettant de saisir les informations de connexion. La sensibilisation à l’échelle de l’entreprise est essentielle. les criminels sont habiles à envoyer des courriels qui semblent provenir d’une source légitime, comme une compagnie de transport ou un fournisseur.

La première et la plus fondamentale défense contre les courriels de phishing consiste à mettre à jour régulièrement les systèmes d’exploitation et les logiciels (afin de garantir qu’ils disposent des derniers correctifs contre les vulnérabilités) et à utiliser un filtre anti-spam de qualité et un outil anti-malware. Quel que soit votre niveau de formation ou le nombre de mémos envoyés, les incidents surviendront chez les employés, mais cette première ligne de défense peut vous protéger quand ils le font.

En ce qui concerne la protection spécifique contre la fraude bancaire, l’authentification à deux facteurs (2FA) contribuera dans une très large mesure à empêcher les services de «piratage électronique» comme GozNym de voler de l’argent. Vous avez le choix entre 2FA, mais pour des informations aussi critiques que les informations bancaires, il est préférable d’utiliser une application d’authentification, voire une clé matérielle, plutôt que le message texte standard.

Des services avancés de protection contre le phishing sont disponibles et utilisent des techniques d’apprentissage automatique pour reconnaître automatiquement les éléments des courriers électroniques inhabituels ou déplacés. Ces services avancés sont particulièrement utiles lorsque l’attaquant se présente en partenaire de confiance de la société. Ils construisent des profils sur chaque organisation et individu avec lesquels vous communiquez régulièrement, et sont en mesure de détecter et de signaler signaler les comportements inhabituels et non caractéristiques.

Les préférences en matière de balance des attaques sont progressivement passées des grandes entreprises aux petites et moyennes entreprises (PME) au cours de la dernière décennie. Les PME ne disposent peut-être pas du même budget que les grandes entreprises pour la cybersécurité, mais elles courent un risque pour un coup paralysant ou même fatale, à leurs activités si les attaquants accèdent à leurs comptes bancaires. Outre les protections fondamentales décrites ci-dessus, une assurance complémentaire contre le phishing peut être un investissement judicieux pour les entreprises qui ne savent pas si leur police couvre pleinement les pertes indirectes résultant d’une fraude dans le transfert de fonds.

L’article GozNym Cyber Crime Group, responsable du vol de plus de 100 millions de dollars, mis à l’arrêt est apparu en premier sur TTCgroupe.