Cybercrime Goes SaaS: Renting Tools, Access, and Infrastructure

Le cybercrime se transforme en économie par abonnement

Le paysage du cybercrime évolue vers un modèle économique basé sur les services, similaire aux offres légitimes de type “as-a-service”. Les acteurs malveillants peuvent désormais louer des outils, des accès et des infrastructures, abaissant considérablement le seuil d’entrée pour mener des attaques. Les réseaux criminels proposent des services évolutifs, à la demande et facturés à l’usage.

Points clés et services :

• Phishing-as-a-Service (PhaaS) : Des plateformes clés en main créent des pages de phishing convaincantes, envoient des e-mails en masse et intègrent parfois l’IA (ex: SpamGPT) pour automatiser la production d’e-mails d’hameçonnage et améliorer les taux de livraison. Des outils comme MatrixPDF transforment des documents ordinaires en leurres pour contourner les filtres. Ces services incluent des mises à jour régulières, des ajustements anti-détection et un support technique.
• Bots Telegram pour l’ingénierie sociale : Des bots sur Telegram automatisent des actions comme l’usurpation d’identité téléphonique pour obtenir des codes d’authentification à deux facteurs (2FA) ou des codes d’authentification uniques (OTP). D’autres services incluent le spam SMS en masse, les échanges de cartes SIM (SIM-swap) et les fausses notifications, le tout accessible sur une base de location ou d’abonnement.
• Flux de données d’infostealers : Les données volées sont agrégées sur des plateformes du dark web, offrant des interfaces web pour rechercher et filtrer des informations compromises (identifiants, etc.) par région, système d’exploitation, type de malware ou domaine spécifique. L’accès à ces plateformes peut nécessiter des frais d’adhésion ou des dépôts, assimilables à un abonnement.
• Courtier d’accès initiaux (IABs) : Ces acteurs spécialisés obtiennent des accès à des réseaux d’entreprises (via des identifiants VPN volés, des serveurs RDP compromis, etc.) et les vendent ou les louent à d’autres criminels, comme les groupes de ransomware. Des offres groupées et des abonnements sont proposés pour un accès récurrent. Ces services valident, catégorisent et fournissent des preuves de l’accès compromis.
• Outils de piratage avancés à bas prix : Des malwares sophistiqués, comme le RAT (Remote Access Trojan) Atroposia, sont désormais disponibles à la location via des abonnements mensuels. Ces outils offrent des fonctionnalités avancées de contrôle à distance, de vol d’identifiants, et d’attaques sans fichier. Les auteurs de malwares proposent également des “builders” et des kits d’exploit sous forme d’abonnement.

Recommandations :

Pour contrer cette économie du cybercrime par abonnement, les professionnels de la cybersécurité doivent adopter une approche “système d’abord”. Cela implique :

• Automatiser les procédures de détection.
• Rotation régulière des identifiants.
• Application systématique du principe de moindre privilège.
• Rendre la défense évolutive, répétable et adaptable.

Vulnérabilités et CVEs :

L’article ne mentionne pas de vulnérabilités spécifiques avec des identifiants CVE. L’accent est mis sur les services criminels qui exploitent des vulnérabilités existantes ou des failles humaines.

Source