in

Trend Micro dévoile « Digital Souks », son livre blanc dédié au Web underground au Moyen-Orient et en Afrique du Nord

A l’occasion du salon GITEX 2017 de Dubaï,Trend Micro, leader mondial des logiciels et solutions de sécurité, présente son dernier livre blanc intitulé « Digital Souks: A Glimpse into the Middle Eastern and North African Underground », une enquête détaillée portant sur le web underground au Moyen-Orient et en Afrique du Nord. L’étude montre notamment que les tarifs des malware et des outils de piratage y sont généralement plus élevés que dans d’autres régions du monde. Par exemple, un keylogger, vendu entre 1$ et 4$ USD sur le marché parallèle nord-américain, peut atteindre 19$ USD. Néanmoins, la propension des membres à partager des contenus pour une cause commune contribue à compenser ces différences de prix.

Au Moyen-Orient et en Afrique du Nord, Le web underground est au carrefour de la culture, de l’idéologie et de la cybercriminalité. Trend Micro a pu constater à quel point les places de marché régionales sont le miroir des sociétés qui les hébergent. Dans cette région, l’esprit du partage est très ancré et le sentiment de fraternité et d’appartenance religieuse prime sur les transactions illicites qui s’yproduisent.

« Cette région est un marché en pleine expansion et ne se situe pas au même niveau que d’autres en termes d’échelle et de rayon d’action, mais les produits et services disponibles demeurent communs et sophistiqués », explique Ihab Moawad, Vice-President MMEA, Trend Micro. « Nous avons désormais une meilleure connaissance de la région, ce qui nous permet de recueillir et d’analyser des renseignements sur les menaces pour y renforcer les capacités de cyberdéfense. Trend Micro continuera de surveiller les places de marché régionales pour renforcer de manière proactive son écosystème et mettre son expertise au service des forces de l’ordre, à l’échelle locale mais également sur le plan mondial. »

« En outre, cette tendance de fond visant à fournir des services et des malware gratuitement est particulièrement intéressante. Il ne s’agit pas de la seule place de marché souterraine dans laquelle les membres de la communauté bénéficient d’un appui, mais cela n’atteint jamais les mêmes proportions ni ne se fait de manière aussi désintéressée », ajoute-t-il.

Le principe du piratage en tant que service est propre à la cybercriminalité de la région Moyen-Orient et Afrique du Nord et tient à l’idéologie qui le sous-tend. Dans d’autres places de marché, comme l’Amérique du Nord ou la Russie, les vendeurs se préoccupent surtout d’écouler leurs produits, et les participants aux forums ne se réunissent pas en groupe pour planifier des cyber-attaques.

Le cyber-activisme, les attaques par déni de service (DDoS) et le détournement de sites web sont monnaie courante dans cette région. Ces actes sont souvent commis par des individus témoignant d’une défiance idéologique à l’égard des pays occidentaux ou des autorités locales. Les différents types de produits vendus par catégories sont les malware (27 %), les documents falsifiés (27 %), les données détournées (20 %), les accessoires cybercriminels (13 %), les armes (10 %) et les stupéfiants (3 %).

Les accessoires cybercriminels regroupent divers outils de chiffrement et de piratage de nature malveillante : worm (1$ à 12$ USD), keylogger (gratuit à 19$ USD), ransomware connu (30$ à 50$ USD), malware builder (gratuit à 500$ USD), Citadel (indétectable – 150$ USD), Ninja RAT (indétectable – 100$ USD) et Havij 1.8 piraté (gratuit).

Dans cette région, les hébergeurs web génèrent des profits considérables en vendant des espaces régionalisés qui offrent des vitesses de connexion supérieures avec un réglage local de l’heure et des paramètres linguistiques. À titre d’exemple, une connexion IP simple avec 50 Go d’espace disque vaut 50$ USD. Il existe des forfaits moins onéreux, vendus à partir de 3$ USD. Dans une certaine mesure, les tarifs sont équivalents à d’autres marchés souterrains comme celui de la Chine.

Les services d’encaissement abondent, à l’image du web underground russe. Il s’agit de plateformes permettant d’échanger des marchandises, généralement volées, contre de l’argent. Les paiements sont effectués sur des comptes bancaires, en bitcoins (BTC) ou en espèces. Ces services d’encaissement se distinguent par la manière dont ils contournent les mécanismes de sécurité et les dispositions légales de la région, à l’image de la réglementation en vigueur pour l’achat de téléphones portables et de cartes SIM jetables. Dans le web underground régional, les cyber-activistes et cyber-terroristes ont la possibilité d’acheter des systèmes de déni de service (DDoS) pour diffuser leur idéologie.

Les organisations publiques et privées sont souvent prises pour cible, mais ce type d’attaque n’est pas aussi répandu qu’on ne le croit, et sa rareté justifie un prix élevé. Le coût moyen est de 45$ USD/heure, avec des forfaits de trois heures à 275$ USD et des outils tels que Low Orbit Ion Cannon (LOIC) ou Lizard Stresser.

Les MaaS (Malware as a Service) impliquent généralement un fournisseur, c’est-à-dire un développeur de malware qui vend une version binaire simple ou un forfait comprenant une version binaire ainsi qu’un « builder » commercialisé comme étant entièrement indétectable (FUD pour « fully undetectable »). Le prix moyen est de 20$ USD pour une version binaire, et de 30$ à 110$ USD pour une version binaire munie d’une infrastructure C&C (Command & Control). Un forfait comprenant la version binaire et le « builder » coûte entre 150$ et 400$ USD.

Des identités volées sont vendues sur les forums régionaux. Le forum arabe Hack-int en Égypte revend par exemple les identités détournées pour 18$ USD. La demande de documents d’identification personnelle est influencée par les tensions géopolitiques — certains acheteurs souhaitent fuir les zones de guerre et peuvent se servir de ces documents pour émigrer et demander le statut de réfugié. Des cybercriminels peuvent également acheter des documents falsifiés pour commettre des fraudes à l’assurance ou prouver leur statut de résident. Dans le pire des scénarios, un individu dangereux pourrait ainsi acheter ces documents falsifiés et se rendre dans un autre pays avec le statut de réfugié.

En outre, les cybercriminels ont l’habitude d’utiliser des réseaux privés virtuels (VPN) qu’ils achètent pour agir dans l’anonymat. Ces réseaux soi-disant sécurisés, ne conservent pas les données de connexion et possèdent plusieurs points d’accès. Les cybercriminels utiliseront généralement ces serveurs dans le cadre de la mise en place d’un botnet, ou comme plateforme de lancement pour d’autres attaques.

Pour cette étude, Trend Micro a délimité le marché parallèle de la région Moyen-Orient et Afrique du Nord par sous-marchés, sites et forums hébergés dans chaque région. L’arabe est la langue la plus courante, même si certains sites sont en turc, en farsi, en anglais, voire en français. Si les cybercriminels vendent leurs outils et services depuis et vers la région Moyen-Orient et Afrique du Nord, ils opèrent également dans le monde entier.

Plus d’informations sur le rapport

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.