Historiquement, les exploits zero-day n’étaient accessibles qu’aux acteurs parrainés par l’État, en raison du coût élevé du développement ou de l’achat. Cependant, une nouvelle analyse montre que les acteurs de la menace non affiliés mettent de plus en plus la main sur ces puissants outils de piratage.
Selon un rapport de Examen de la technologie MITselon une étude de Mandiant, de nombreux cybercriminels modernes sont suffisamment riches pour financer le développement d’exploits zero-day, qui peuvent être utilisés pour lancer des attaques dévastatrices et très lucratives.
Le rapport attribue ce changement de secteur à la montée des attaques de ransomwares, qui se sont révélées être une méthode efficace pour extorquer de l’argent aux entreprises.
Vulnérabilités zero-day
Le terme « zero-day » décrit une vulnérabilité inconnue de la victime, qui est donc sans défense face à une attaque. Lorsqu’ils sont exploités, ils permettent aux pirates de déployer des logiciels malveillants et de contrôler les appareils à distance, ou de siphonner des données et d’autres informations sensibles.
Le rapport Mandiant montre que la proportion de vulnérabilités zero-day exploitées par les cybercriminels est en augmentation. Un tiers de tous les groupes de piratage qui ont exploité les zero-days l’année dernière n’étaient pas des acteurs de la menace parrainés par l’État, mais plutôt des groupes à motivation financière.
Au cours des années précédentes, « seule une très petite fraction des zero-days » a été déployée par des cybercriminels, indique le rapport.
Cependant, ces vulnérabilités ne sont pas bon marché, les zero-days pour iPhone et Android se vendant à plus d’un million de dollars.
Les années précédentes, les groupes de piratage n’avaient pas ce genre de budget. Cependant, les rançongiciels leur ont permis d’exiger des millions de rançons, comme on l’a vu dans des cas tels que Colonian Pipeline, JBS et d’autres.
Ils « décèlent plus rapidement les attaques parrainées par l’État contre les cybercriminels », a déclaré Adam Meyers, SVP Intelligence de la société de sécurité Crowdstrike. « Ils comprennent rapidement comment utiliser [zero-days]puis ils tirent parti [them] pour la poursuite des opérations.
Via l’examen de la technologie MIT