Les chercheurs de Trend Micro ont plongé dans les profondeurs du monde cybercriminel russe. Ils y ont découvert un collectif fortement organisé, fondé sur le statut, la confiance et l’expertise technique, qui se trouve au bord de l’éclatement en raison de la guerre en Ukraine.
Les cybercriminels russes représentent une menace réelle pour toute organisation occidentale. Nous n’avons pas besoin de chercher loin pour en avoir la preuve : il y a deux semaines, le gouvernement belge a été confronté à une vague de cyberattaques russes. Ce n’est pas un hasard si les cyberattaques contre les organisations occidentales sont si souvent liées à des acteurs russes : l’Université d’Oxford place le pays en première position dans son Indice mondial de cybercriminalité.
Selon le principe ‘Connais ton ennemi’, Trend Micro publie aujourd’hui un document offrant un aperçu unique du monde cybercriminel russe. Selon Trend Micro, la cybercriminalité n’est nulle part ailleurs mieux organisée qu’en Russie et dans ses environs. Les chercheurs Vladimir Kropotov et Fyodor Yarochkin expliquent leur recherche à la presse. ‘Le monde cybercriminel russe est plus qu’un marché : c’est une société structurée basée sur des règles, la réputation et la confiance’, révèle Kropotov, soulevant un coin du voile.
Nous contre eux
Kropotov et Yarochkin ont tenté de pénétrer dans l’esprit des cybercriminels russes. Ceux-ci ne viennent d’ailleurs pas exclusivement de Russie, mais aussi des pays voisins où le russe reste une langue dominante, explique Kropotov. ‘Il y a beaucoup d’exportation mutuelle de talents entre les pays russophones. Ils fonctionnent comme dans un contexte professionnel avec des offres d’emploi et des formations’.
Selon Yarochkin, la nostalgie idéologique alimente le monde cybercriminel russe. L’esprit de l’Union soviétique, disparue il y a plus de trente ans, vit toujours dans l’esprit des pirates informatiques. ‘Il règne un sentiment de ‘nous contre eux’. Les pirates des pays russes s’accordent pour ne pas s’attaquer mutuellement et ne voler de l’argent qu’à l’Occident ‘riche’. Cela réduit également considérablement le risque d’arrestations’.
Cela ne signifie pas qu’ils agissent nécessairement pour des motifs politiques. ‘Les acteurs sont hautement qualifiés techniquement, mais ont peu d’opportunités sur le marché du travail. Beaucoup cherchent donc à repousser les limites des ‘activités acceptables’ pour développer leurs compétences’, explique Yarochkin. ‘L’inflation met les gens de ces pays sous pression financière. La cybercriminalité devient alors une stratégie de survie’, ajoute Kropotov.
Il règne un sentiment de nous contre eux parmi les pirates russes : il y a des accords pour ne voler de l’argent qu’à l’Occident ‘riche’.
Fyodor Yarochkin, Architecte senior de solutions de menaces chez Trend Micro
Le Bitcoin détruit le mur
La mondialisation, qui va à l’encontre de leurs convictions, a néanmoins aidé les pirates russes à élargir leur champ d’attaque. Yarochkin explique : ‘Les systèmes de paiement ont longtemps été un obstacle, mais l’introduction du Bitcoin a supprimé les frontières. Le Bitcoin est la base de l’écosystème de la cybercriminalité en tant que service. Les rançongiciels déterminent en grande partie le flux mondial de Bitcoin. De nombreuses entreprises achètent des Bitcoins pour pouvoir payer les criminels après une attaque’.
Outre les barrières économiques, les barrières linguistiques ont également été supprimées grâce à la technologie, note Kropotov. ‘Si vous ne parlez pas la langue de la victime, vous ne pouvez pas rédiger des e-mails de hameçonnage crédibles. Avec l’IA, c’est maintenant très simple, permettant aux pirates d’atteindre des régions auparavant inaccessibles’.
lire aussi
L’ère des attaques d’hameçonnage pitoyables est révolue
Une confiance fragile
Le document décrit en détail comment les cybercriminels interagissent entre eux. Sur les forums de pirates, des règles de conduite et des codes stricts s’appliquent, et quiconque veut entrer dans le groupe doit les connaître et les respecter. ‘Les forums sont en principe publics, mais en tant qu’outsider, c’est un défi de comprendre la culture et les interactions’, explique Yarochkin.
‘C’est vraiment dans les détails. Ils vous repèrent immédiatement si vous traduisez simplement les messages avec Deepl ou ChatGPT’, poursuit-il. ‘Les pirates sont naturellement méfiants envers le monde extérieur, mais en même temps, ils sont ouverts à de nouvelles ‘forces de travail’. En établissant la confiance et la réputation, vous finissez par entrer dans les groupes’.
« La réputation est cruciale pour pouvoir établir un écosystème dans le monde numérique souterrain », intervient Kropotov. Bâtir une réputation peut prendre de nombreuses années, mais elle peut être perdue en une seule erreur. « C’est pourquoi les actions policières sont effectivement efficaces. Les groupes qui se font prendre sont ridiculisés. Les pirates informatiques apprennent des erreurs des autres. Si votre réputation est détruite, c’en est fini ».
L’année dernière, Lockbit a été démantelé, un groupe qui était au sommet du monde cybercriminel russe. À son apogée, le réseau Lockbit était responsable d’un tiers des attaques par rançongiciel dans le monde. Kropotov : « Les petites attaques passent inaperçues, mais lorsque les rançongiciels coûtent des millions voire des milliards d’euros et affectent les infrastructures critiques, cela attire l’attention des autorités. Cela crée des tensions parmi les acteurs : sur certains forums, les rançongiciels sont même devenus un sujet de conversation interdit ».
Clivage idéologique
Le sentiment collectif qui rendait la communauté cybercriminelle russe si forte s’effrite ces dernières années, constate Yarochkin. La guerre en Ukraine agit comme un clivage idéologique. « Une scission nette est visible : les groupes s’affichent comme pro-russes ou pro-ukrainiens. L’« autre » pays devient soudainement une cible légitime. Auparavant, les groupes franchissaient la frontière, c’est maintenant impensable ».
« Prendre parti dans le conflit rend les acteurs plus visibles. Cela offre des opportunités aux services de police pour localiser les groupes », déclare Kropotov. « Néanmoins, ils ont toujours intérêt à se cacher. L’Ukraine et la Russie se considèrent mutuellement comme des États terroristes. Les entreprises en Ukraine ne sont pas autorisées à payer les pirates russes. Cela est considéré comme du financement du terrorisme et les entreprises peuvent être légalement poursuivies pour cela », ajoute Yarochkin.
Les tensions géopolitiques dans le monde estompent les frontières entre les types de cyberattaques et ceux qui peuvent en être victimes. Yarochkin : « Les cybercriminels recherchent généralement le maillon le plus faible à attaquer, tandis que les ‘hacktivistes’ choisissent leur victime de manière plus consciente pour envoyer un message ou obtenir des informations qui n’ont aucune valeur monétaire. Mais les entreprises commerciales peuvent tout aussi bien devenir la cible d’hacktivisme en raison des actions des gouvernements ».
« Avant le début de la guerre, l’hacktivisme était généralement beaucoup plus amateur que la cybercriminalité. Maintenant, nous voyons plusieurs niveaux émerger au sein de l’hacktivisme et les groupes sont organisés de manière beaucoup plus professionnelle et complexe. Les rançongiciels deviennent une partie de la guerre hybride », déclare Kropotov.
Jeu du chat et de la souris
En conclusion, Yarochkin et Kropotov partagent ce que les organisations occidentales doivent retenir de leur recherche. « Les organisations européennes doivent reconnaître le risque et prendre une avance technologique pour maintenir les infrastructures critiques en sécurité. Nous ne pourrons peut-être pas arrêter complètement les cyberattaques, mais nous pouvons rendre la tâche aussi difficile que possible aux cybercriminels. Ce sera toujours un jeu du chat et de la souris ».
Sur certains forums de pirates, les rançongiciels sont un sujet de conversation interdit.
Vladimir Kropotov, Senior Researcher & Advisor Trend Micro