les marchés noirs de la cybercriminalité

Lundi 17 septembre 2012

« Lundi de l’IE »

Barbara Louis-Sidney Charles Ibrahim Nicolas Caproni

! !!Barbara%Louis+Sidney,!consultante!juriste!@b_sydney!

! !!Charles%Ibrahim,%analyse!cybercriminalité!@Ibrahimous!

! !!Nicolas%Caproni,!consultant!en!sécurité!des!systèmes!d’informa;on!

@ncaproni!%Pôle%Management%des%Risques%de%CEIS,%cabinet!de!conseil!en!stratégie!et!ges;on!des!risques!

Les intervenants

CEIS!est!une!société!de!conseil!en!stratégie!et!en!management!des!risques,!créée!en!1997!par!Olivier!Darrason.!%CEIS%compte!aujourd’hui!80!consultants!alliant!:!!!! !une!compétence!mé;er!(veille,!communica;on,!analyse!financière,!cybersécurité…)!

! !une!spécialisa;on!sectorielle!dans!les!mé;ers!des!clients!:!défense,!agroPalimentaire,!biotechnologies,!transport,!finance…!

Présentation rapide de CEIS

En! juin! 2011,! CEIS! publie! un! livre! blanc! consacré! au!«!marché!noir!de!la!cybercriminalité!».!

L’étude%a%nécessité%environ%8%mois%de%travail%notamment%sur%:%

! !!l’observa;on!de!ces!«!black!markets!»!! !!l’interac;on!avec!certains!cybercriminels!! !!la!récolte!d’informa;ons!

1% an% après,% l’étude! reste! per;nente,! même! si! la!cybercriminalité!évolue!con;nuellement.!

!

Le contexte

1.  Scénarios!d’aVaques!cybercriminelles!

2.  Les!supports!de!la!cybercriminalité!

3.  L’économie!de!la!cybercriminalité!:!zoom!sur!les!monnaies!virtuelles!

4.  Retour!sur!les!faits!d’armes!des!cybercriminels!en!2012!

5.  Retour!sur!la!luVe!contre!la!cybercriminalité!:!entre!réussites!et!limites!de!la!coopéra;on!interna;onale!

6.  La!luVe!contre!la!cybercriminalité!en!entreprise!

Plan de l’intervention

Scénarios%d’aIaques%cybercriminelles%%

1.  Un!scénario!de!vol!et!revente!de!données!sur!les!black!markets!

2.  Un!scénario!d’extorsion!d’argent!à!l’étranger!

Lancement(d’une(a,aque(par(injec2on(SQL(contre((un(site(de(commerce(en(ligne.((

1.  Un scénario de vol et revente de données sur les black markets

1. Une attaque par injection SQL

«(Je(vends(un(dump(d’une(base(de(donnée(avec(beaucoup((de(cartes(de(crédit((3000)(de(plusieurs(pays(européens,(

(envoyezFmoi(un(message(privé(»(

1.  Un scénario de vol et revente de données sur les black markets

1.  Un scénario de vol et revente de données sur les black markets

1.  Un scénario de vol et revente de données sur les black markets

Des!cas!peu!média;sés!!

Une!tendance!forte!qui!va!s’accélérer!avec!l’augmenta;on!des!fuites!de!données!!

2. Scénario d’extorsion d’argent

Scénario d’extorsion (1/2)

Piratage!d’une!base!de!données!!Créa;on!d’un!site!non!référencé!pour!y!exposer!des!échan;llons!(ou!Pastebin)!

Scénario d’extorsion (2/2)

Contact!avec!l’entreprise!pour!vendre!la!base!de!données!piratées!!Bluff!/!vente!à!d’autres!;ers!! 2. Scénario d’extorsion d’argent

Une!situa;on!compliquée!à!gérer!!Collabora;on!avec!les!autorités!

Impacts pour l’entreprise

Risque!de!fuite!dans!les!médias!!

Aucune!garan;e!en!cas!de!paiement!d’une!rançon!!

2. Scénario d’extorsion d’argent

! !!Un!groupe!de!pirates!«!Rex!Mundi!»!lance!un!ul;matum!à!la!société!Crédiprêt!

! !!Ils!auraient!réussi!à!pirater!des!données!confiden;elles!contenant!des!informa;ons!(bancaires)!sur!les!clients!de!la!société!

! !!Ils!menacent!de!les!divulguer!sur!Internet!si!la!société!ne!paye!pas!une!rançon!de!20!000!euros!%

!

Une société de crédit niçoise menacée par des pirates

2. Scénario d’extorsion d’argent

! Les!pirates!dévoilent!un!extrait!de!la!base!de!données!pour!prouver!leur!aVaque.!

! !!La!société!refuse!de!payer!la!rançon!

! Les!pirates!diffusent!les!données!sur!Pastebin!!%

!

Une société de crédit niçoise menacée par des pirates

2. Scénario d’extorsion d’argent

Les%supports%de%la%cybercriminalité%

Catégories des sites de cybercriminalité (1/2) : les forums

"  Convergence!criminalité!virtuelle!et!physique!

"  Infrac;ons!en!chaîne!"  Fraudes,!hacking,!hébergement!de!sites!

illégaux!/!serveurs!de!spam!!

"  Discussions!en!plusieurs!langues!"  Annonces!publiques,!puis!MP!"  Semblables!aux!forums!classiques!!!

Catégories des sites de cybercriminalité (2/2) : les shops

"  Page!d’entrée!shop!

"  Infos!disponibles!à!l’achat!:!#  n°!complet,!CVV,!banque,!date!d’expira;on,!

type!(Visa,!Mastercard,!…)!#  Données!du!«!track!»!pour!fabrica;on!carte.!

"  Skimming!"  Phishing!"  Hack!"  …!

Focus sur le skimming $  Récupération illégale de données sur la bande magnétique (track) de la carte bancaire d’un

usager, puis copie sur une carte vierge.

"  Stockage!:!#  Mémoire!flash!#  Fichier!audio!#  Transmission!radio!/!GSM!

Skimmer audio pour distributeurs ATM Diebol Opteva 760

"  «!Écoute!»!les!données!transmises!et!les!enregistre!sur!de!la!mémoire!flash!embarquée!

"  Un!faux!panneau!vient!s’adapter!sur!la!fente!originale!d’un!ATM!

"  MiniPcaméra!vidéo!pour!enregistrement!du!PIN!tapé!par!les!vic;mes!lorsque!la!fente!du!skimmer!est!ac;vée.!

"  BaVerie!incluse!d’environ!6!heures!

Les outils de communication : ICQ, Jabber

Autres produits (1/5)

"  Tutoriels!de!virusologie,!d’implémenta;on!de!malwares,!de!hacks!divers!et!variés!

"  Service!d’anonymisa;on!"  …!

"  Cryptage/!décryptage!des!données!"  Services!de!spam!"  Carding("  …(!

Autres produits (2/5)

Cartes!«!USB!»!(Credit(s2ck)!

Cartes! possédant! entre! 300! et! 500! dollars,!vendues!entre!10%!et!12%!de!leur!valeur!

"  Briques!de!botnet…!"  Pas!de!compétence!

technique!requise!:!CaaS$

"  Ransomware,!kits!de!phishing,!troyens…!

Autres produits (3/5)

Comptes Paypal Faux papiers

Identifiants gouvernementaux …

Autres produits (4/5)

«(Nous(hébergeons(pra2quement(tout,(dont(des!malwares((par(exemple(Zeus(ou(SpyEye),(des(an2virus,(du(spam(d’emails…(»(«(Nos(services(:(P  Hébergement(P  VPS/VDS(P  Enregistrement(de(domaines(P  Cer2ficats(SSL(»(

Xrumer(:(vente(de(la(dernière(version((piratée)(

Autres produits (5/5)

Offre de connexion VPN

Recherche d’identité par n° de sécurité sociale / date de naissance

Liens vers des serveurs SOCKS non officiels

Infrastructures : les serveurs bulletproof

Infrastructures : des hébergements aux quatre coins du monde

! !!Etude!de!la!localisa;on!des!serveurs!hébergeant!15!sites!de!Black!Markets!(shops!et!forums)!!

27%%

13%%

13%%

La technique du fast-flux "  Suppose!que!le!cybercriminel!dispose!:!

#  d'un!nom!de!domaine!complet!(Fully(Qualified(Domain(Name)!

#  d'un!ensemble!de!machines!compromises,!ayant!des!adresses!

IPs!dis;nctes!;!!

"  que!les!associa;ons!entre!nom!de!domaine!/!adresses!IPs!précédentes!changent!très!fréquemment!

"  Renforcement!de!l’accessibilité!/!anonymisa;on!:!serveurs!bulletproof,!non!directement!connectés!aux!fournisseurs!d’accès!à!Internet

"  Serveurs!upstream!sont!légaux,!relaient!les!ac;ons!des!serveurs!bulletproof!

Tout!le!monde!peut!s’improviser!cybercriminel.!

Conclusion : les dernières tendances - Outils clés en main

Des!nombreuses!offres!d’emploi!ou!de!services.!

Conclusion : les dernières tendances - Professionnalisation

L’économie%de%la%cybercriminalité%:%Zoom%sur%les%monnaies%virtuelles%

Surveillance%de%5%shops%pendant%un%mois%:%%! !!Plus!de!800!000!$!de!chiffre!d’affaires!sur!l’ensemble!des!sites!(pour!un!mois!seulement).!!! !!Les!pays!les!plus!touchés!:!

" !Corée!du!Sud!" !USA!" !NouvellePZélande!

" !La!France!représente!“seulement”!7!000!$!des!ventes!totales.!

Espèces,!CB…!

Réel! Virtuel!

Sociétés!d’échange!

Achat,!vente!

Monnaies!virtuelles!Intermédiaire!

4%caractérisQques%essenQelles%%!! !!Opacité!!!! !!Flexibilité!!! !!Anonymat!!!! !!Paradoxe!:!complexité!(diffus,!morcelé,!organisé,!etc.)!et!simplicité!d’accès/de!mise!en!œuvre!!

Exemples

Retour%sur%les%faits%d’armes%des%cybercriminels%en%2012%

Sources : Extraits d’une veille Internet en sources ouvertes (Twitter, blog de

Brian Krebs, CERT XMCO, zataz, 01net, infosecisland.com…)

Une année 2012 riche pour les cybercriminels… et les cyber policiers

Mars

Microsoft fait tomber des douzaines de botnets Zeus et SpyEye.

Février

« Crimeverstising » : des publicités de cybercriminels d a n s l e s i n t e r f a c e s d’administration des botnets

Des « ransomware » se propagent et se font passer pour les forces de police.

Janvier

La Grande-Bretagne lance 3 nouvelles unités régionales anti-cybercriminalité

Des hackers brésiliens vendent des cours de « cybercrimes ».

Une année 2012 riche pour les cybercriminels… et les cyber policiers

Une boutique de carders infiltrée : 15 000 données bancaires dans la nature.

Une nouvelle variante de Zeus est proposée sur les Black Markets : elle permet de cibler Facebook, Gmail, Hotmail et Yahoo!

Avril Mai Juin

Une trentaine de noms de domaines appartenant à des Black Markets saisis par le DOJ

La police russe arrête un pirate russe qui contrôlait un botnet de 4 millions de machines zombies.

Une année 2012 riche pour les cybercriminels… et les cyber policiers

Vente de 0-Day Plesk sur les Black Markets

Le kit d’exploit BlackHole intègre la nouvelle faille Java

Juillet

Cybercriminalité: plus de 10 millions de Français victimes en 2011 selon Symantec

Août Septembre

Retour%sur%la%luIe%contre%la%cybercriminalité%:%%

entre%réussites%et%limites%de%la%coopéraQon%internaQonale%

Etat%des%lieux%:%un%écosystème%truffé%d’infracQons%%!! !!Fraude!à!la!carte!bancaire!(carding,!skimming),!! !!Escroquerie!(phishing,!etc.),!! !!AVeintes!aux!STAD,!! !!Déten;on,!mise!à!disposi;on!d’équipements!d’aVeinte!aux!STAD,!! !!Associa;on!de!malfaiteurs,!! !!Blanchiment!d’argent,!! !!Contrefaçon,!! !!Recel,!! !!Etc.!

!!!

La%responsabilité%de%nombreux%acteurs%pourrait%être%engagée%%%!! !!Cybercriminel!(skimmeur,!fraudeur,!pirate!malveillant…)!! !!Acheteur!!! !!Vendeur!! !!Mule!! !!Opérateur!de!monnaie!virtuelle!opérant!dans!l’illégalité!! !!Hébergeur!de!serveurs!bulletproof!

!!

!

Les%freins%à%la%luIe%contre%cet%écosystème%%!! !!Des!délits!indolores!! !!Absence!de!plainte!! !!Vola;lité!et!rapidité!des!opéra;ons!! !!Manque!de!coopéra;on!interna;onale!et!d’harmonisa;on!des!corpus!juridiques!

!!!

Echelle%naQonale%%

! !!Disposi;f!Godfrain!! !!AVeinte!aux!données!à!caractère!personnel!! !!Organismes!dédiés!!

Fer%de%lance%de%la%coopéraQon%internaQonale%%%%! !!Conven;on!de!Budapest!sur!la!cybercriminalité!! !!Taux!d’adop;on!rela;vement!faible,!malgré!la!ra;fica;on!récente!de!l’Autriche,!la!Belgique,!la!Géorgie!et!le!Japon.!!!!

Renforcement!de!la!luVe!contre!les!paradis!fiscaux!et!numériques!/!hébergeurs!bulletproof!!Homogénéisa;on!des!législa;ons!:!Poursuivre!l’élargissement!de!l’adop;on!de!la!Conven;on!de!Budapest!

!Renforcement!de!la!coopéra;on!

interéta;que!

Clarifica;on!du!statut!juridique!des!opérateurs!de!monnaie!virtuelle!à!l’échelle!interna;onale!!Envisager!des!sanc;ons!contre!les!Etats!négligents!?!!

!Développer!la!luVe!contre!les!infrastructures,!la!logis;que!cybercriminelle!

Renforcement!de!la!coopéra;on!!public!/!privé!–!respect!de!la!vie!privée!!Développements!des!moyens!!d’enquêtes!!

Sensibilisa;on!des!u;lisateurs!(par;culiers,!entreprises…)!

La%luIe%contre%la%cybercriminalité%%en%entreprise%

! ! La! loca;on! de! botnets! va! servir! à! lancer! des! aVaques!DDoS!contre!des!sites!Internet!ou!des!services!Web!!

⇒ (extorsion(⇒ (perte(de(chiffres(d’affaires((eFcommerce)(!

!  ! ! La! vente! de! malwares! et! d’exploits! va! permeVre!d’aVaquer!les!systèmes!d’informa;on!de!l’entreprise!

!!⇒ (vol(et(fuite(de(données((confiden2els(:(clients,(personnels,(eFmails,(fichiers…),(perturba2ons(sur(le(réseau…(⇒ (a,einte(à(l’image(de(l’entreprise((⇒ (perte(de(confiance(des(clients(

(

%

!

Quels impacts ?

!  Respect!des!bonnes!pra;ques!de!sécurité!(=>(pour(lu,er(contre(les(infec2ons(de(malwares,(les(a,aques(exploitant((des(vulnérabilités(connues(et(non(corrigées((l’éternelle(nécessité(du(patch((management)(

(

! !!Développement!des!démarches!SIEM!/!SOC!!=>(pour(détecter(les(menaces(en(exploitant(des(logs(souvent(inexploités((=>(pour(détecter(les(machines(«(zombies(»(poten2ellement(présentes(sur((son(réseau(

(!!

! !!Renforcer!les!capacités!de!veille!!=>!pour!détecter!le!plus!en!amont!possible!les!signaux!faibles!

!=>!pour!être!au!courant!des!dernières!failles,!exploits,!techniques!!cybercriminelles!(surveillance!des!Black!Markets)!

Comment répondre aux menaces cybercriminelles ?

! !!Sensibiliser!le!personnel!/!les!clients!!(=>(pour(ne(pas(oublier(que(le(facteur(humain(est(souvent(le(vecteur(n°1((d’a,aque(des(cybercriminels(

(

! !!Porter!plainte!et!no;fier!les!aVaques!aux!autorités!concernées!(CNIL,!Police,!Gendarmerie,!ANSSI,!etc.)!

!=>(pour(faire(avancer(les(enquêtes(et(la(lu,e(contre(la(cybercriminalité((=>(pour(perme,re(des(retours(d’expériences(

(

Comment répondre aux menaces cybercriminelles ?