La visibilité sur les menaces et leur corrélation sont des moyens efficaces pour réduire les profits de la cybercriminalité
Trend Micro Incorporated, entreprise japonaise spécialiste de la sécurité du Cloud, publie ce jour le troisième et dernier volet de son étude sur le marché des services d’hébergements souterrains. Cette dernière porte sur les méthodes d’identification et de perturbation des opérations criminelles. On y découvre notamment une analyse poussée permettant aux équipes de sécurité et aux forces de l’ordre de mieux identifier et contrer les pratiques de monétisation opérées par les attaquants autour des infrastructures.
Comprendre les opérations criminelles, les motivations et les modèles économiques est essentiel pour démanteler l’industrie de l’hébergement clandestin sur laquelle repose la majorité de la cybercriminalité mondiale.
« Les organisations matures disposent de plus en plus de capacités SOC et XDR[1] qui facilitent l’investigation des équipes de sécurité au quotidien. Cette sophistication de la sécurité requiert de bien comprendre comment les criminels agissent, de façon à adopter une stratégie de défense efficace contre leurs attaques. Nous espérons que cette étude fournira aux organisations un éclairage utile sur les opérations cybercriminelles et leur donnera les moyens de faire perdre leurs profits aux hébergeurs clandestins. », déclare Robert McArdle, Director of Forward-looking Threat Research (FTR), Trend Micro.
Les hébergeurs commercialisant une infrastructure clandestine robuste (appelés BPH pour BulletProof Hosting) sont la source de l’infrastructure cybercriminelle et utilisent un modèle économique sophistiqué pour survivre aux manœuvres offensives de démantèlement. Ils font preuve de souplesse, de professionnalisme et offrent un large éventail de services répondant aux différents besoins de leurs clients.
L’étude Trend Micro Research détaille plusieurs méthodes efficaces permettant d’aider les enquêteurs à identifier les hébergeurs clandestins :
- Identifier les plages d’adresses IP figurant sur les listes noires publiques ou celles associées à un grand nombre de demandes d’abus, car celles-ci peuvent indiquer un BPH ;
- Analyser le comportement du système autonome et les modèles d’informations de peering pour signaler les activités susceptibles d’être associées au BPH ;
- Utiliser le Fingerprint de la machine, une fois qu’un élément du BPH a été détecté, pour en détecter d’autres qui peuvent être liés au même fournisseur.
L’étude répertorie également certaines méthodes permettant aux forces de l’ordre et aux entreprises de perturber l’activité des hébergeurs clandestins, sans nécessairement avoir besoin d’identifier ou de supprimer leurs serveurs :
- Soumettre en amont des demandes d’abus correctement documentées au fournisseur d’hébergement clandestin présumé et à ses pairs;
- Ajouter des plages de réseau BPH à des listes noires bien établies ;
- Augmenter les coûts opérationnels du BPH, pour nuire à la stabilité de l’entreprise ;
- Nuire à la réputation du BPH au sein du marché de la cybercriminalité souterraine, par exemple via des comptes secrets remettant en question la sécurité du fournisseur d’hébergement criminel, ou en évoquant une éventuelle collaboration avec les autorités.
Pour lire ce troisième et dernier volet de l’étude dans son intégralité :