Le démantèlement des groupes cybercriminels entre dans une nouvelle phase

Maintenant que les autorités sont en mesure de démanteler les infrastructures utilisées par les syndicats de cybercriminels pour lancer des attaques, il semble que la bataille sans fin pour garantir la cybersécurité entre dans une nouvelle phase.

Le Federal Bureau of Investigations (FBI) des États-Unis, ainsi que d'autres organismes internationaux chargés de l'application de la loi, ont saisi deux douzaines de serveurs et neuf domaines appartenant à un gang de ransomware appelé Dispossessor, également connu sous le nom de Radar, qui, à la suite du démantèlement d'un autre gang cybercriminel Lockbit en début d'année, était devenu plus actif depuis son apparition l'année dernière.

En fait, Dispossessor a été accusé d'avoir attaqué au moins 43 organisations dans le monde entier avant que les autorités ne mettent hors service trois serveurs aux États-Unis et au Royaume-Uni et 18 autres en Allemagne. En outre, elles ont saisi huit domaines criminels basés aux États-Unis et un autre en Allemagne.

La perturbation de l'opération Dispossessor est la saisie d'infrastructures et de domaines qui sont devenus de plus en plus agressifs au cours de l'année écoulée.  Le plus remarquable de ces efforts a été le démantèlement de LockBit, mais d'autres groupes tels que Hive et BlackCat/AlphV ont été perturbés de la même manière.

Certains de ces gangs cybercriminels ont toutefois réussi à reprendre leurs activités tandis que d'autres ont fermé leurs portes, mais ont été remplacés par un nouveau syndicat. Dispossessor, par exemple, s'est fait connaître après le démantèlement de LockBit. Auparavant, le groupe se contentait d'annoncer la disponibilité de données qui avaient déjà été divulguées par des groupes de ransomware tels que LockBit, Hunters International, Cl0p et 8base.

L'autre problème auquel les responsables de l'application de la loi seront confrontés est le suivant : une fois que les syndicats de cybercriminels auront pleinement compris dans quelle mesure les autorités peuvent perturber leurs opérations, ils s'assureront d'avoir accès à des infrastructures et à des domaines supplémentaires disponibles en permanence. Le temps nécessaire au rétablissement de leurs activités ne cessera donc de diminuer. En théorie, les forces de l'ordre pourraient être en mesure d'identifier l'infrastructure de réserve avant qu'elle ne soit activée, mais s'assurer qu'elle est entièrement désactivée constituera un défi de taille. Quelle que soit l'ampleur de la mise hors service de cette infrastructure, les syndicats cybercriminels continueront à devenir plus résistants en adoptant un grand nombre des meilleures pratiques que les équipes informatiques modernes utilisent pour garantir la disponibilité des applications.

Cela ne veut pas dire qu'il ne faut pas s'efforcer de perturber les opérations des syndicats de cybercriminels, mais l'accent doit rester mis sur l'identification et l'arrestation éventuelle des auteurs de ces crimes. Perturber l'infrastructure informatique, c'est à peu près l'équivalent numérique des G-men des années 1920 qui font une descente dans un entrepôt rempli d'alcool illégal qui est ensuite déversé dans les égouts. Si personne n'est arrêté, les gangsters se rendent simplement dans un autre entrepôt.

En attendant, les équipes de cybersécurité ne doivent pas supposer que le démantèlement des infrastructures appartenant aux principaux gangs de cybercriminels n’est rien de plus qu’un répit momentané. Il est clair qu’il y a beaucoup d’acteurs malveillants prêts à les remplacer. Après tout, la seule différence réelle est que plus le syndicat est récent, moins il est susceptible d'être organisé par rapport aux syndicats plus établis qui ont, pour le meilleur ou pour le pire, évolué en organisations de services professionnels avec lesquelles il est plus facile de négocier.