Ransomware : l’éphémère des marques et la permanence des liens

Le modèle d’affaires : RaaS et l’écosystème des affiliés

Le modèle de ransomware en mode service (RaaS) illustre la transformation de ces réseaux. Il s’agit d’un programme public qui offre un code intégré et d’autres capacités (hébergement de sites de divulgation, services de négociation et de blanchiment d’argent) sur des plateformes du cybercrime. Dans ce cadre, les affidés exécutent les attaques, tandis que le groupe central reçoit une part fixe des bénéfices.

Le renseignement suggère que les marques les plus menaçantes sont opérées par un groupe d’affidés de haut niveau, dotés d’une longue histoire de collaboration. Ces affidés sont hautement résilients et collaborent pour fournir des services de cybercriminalité efficaces, développant des programmes de rançongiciel qui sont ensuite franchisés à d’autres cybercriminels.

La résilience de ces groupes est manifeste après une perturbation. Une fois qu’une enseigne (ou une marque) est démantelée, elle démontre une capacité élevée à se dissoudre rapidement, à se ripoliner ou à créer des groupes éclairs. Par exemple, l’enseigne Akira, créée par le groupe Howling Scorpius en 2023, présente des liens avec des membres du groupe Conti, une entité proéminente qui a cessé d’exister en 2022.

L’après-coup de l’exit-scam d’Alphv et de l’opération Cronos, contre LockBit 3.0, durant le premier semestre 2024, l’a également bien illustré.

Continuité opérationnelle et exploitation systémique

La continuité opérationnelle des MTCN repose sur leur capacité à s’adapter et à se réorganiser. Même lorsque des figures clés sont arrêtées, les réseaux peuvent continuer à opérer en restant sous le radar.

L’écosystème criminel est caractérisé par une collaboration flexible et des fournisseurs de services spécialisés. Le blanchiment d’argent est le service le plus demandé, et les réseaux spécialisés dans ce domaine sont souvent bien organisés et durables.

Les MTCN exploitent également la complexité systémique mondiale. La numérisation, l’innovation technologique et l’instabilité géopolitique offrent des opportunités criminelles en croissance rapide. Les réseaux exploitent les plateformes en ligne, la communication chiffrée et l’IA pour augmenter leurs opérations tout en minimisant les risques.

Le succès de ces réseaux ne tient pas seulement à leur agilité, mais à leur capacité à exploiter les vulnérabilités des systèmes modernes. Les MTCN brouillent les frontières entre activités légales et illégales, intégrant les profits dans des entreprises légitimes. Ils utilisent massivement les structures commerciales légales, les infiltrant au niveau de la direction ou en s’associant avec des professionnels clés tels que les agents immobiliers, les comptables ou les experts logistiques. Ces professionnels fournissent une couche supplémentaire au « plan d’opportunisme » des MTCN, en les reliant à l’économie légale.

Enfin, ces réseaux utilisent des contre-mesures sophistiquées pour échapper aux autorités. Cela inclut l’utilisation de services VPN et de services de proxy résidentiels, ainsi que le fait de se localiser dans des juridictions non coopératives. Cette combinaison de sophistication technique et de barrières juridictionnelles rend l’identification et l’appréhension des acteurs extrêmement complexes.