Les cybercriminels au service des États : une alliance dangereuse

La convergence entre cybercriminalité et espionnage d’État rendent les attaques plus dangereuses et difficiles à tracer.

Les frontières entre cybercriminalité financière et espionnage d’État s’effacent. Des groupes de hackers motivés par l’argent collaborent désormais avec des agences de renseignement, rendant les attaques plus sophistiquées et plus difficiles à attribuer. Cette évolution pose un défi majeur pour la cybersécurité mondiale.

Une alliance stratégique entre criminels et États

Les cybercriminels spécialisés dans les ransomwares et le vol de données ne travaillent plus uniquement pour leur propre compte. Désormais, des États exploitent leurs compétences pour mener des campagnes d’espionnage et de sabotage.

Selon les chercheurs de Mandiant, cette tendance s’est intensifiée ces dernières années. Face aux restrictions budgétaires et à la nécessité de masquer leurs opérations, certains gouvernements préfèrent acheter des outils et des services cybercriminels plutôt que de développer leurs propres capacités en interne. Cette approche leur permet aussi de brouiller les pistes et de se fondre dans le bruit des cyberattaques purement financières.

Espionnage, sabotage et extorsion : une menace croissante

L’impact de cette convergence est déjà visible. En 2024, Mandiant a constaté que les intrusions menées par des groupes motivés financièrement étaient quatre fois plus fréquentes que celles orchestrées par des États. Pourtant, les effets sont souvent identiques : vol de données sensibles, paralysie d’infrastructures critiques et pertes financières massives.

Le secteur de la santé est particulièrement vulnérable. Les attaques contre les hôpitaux se sont multipliées, doublant en trois ans la part des établissements de santé dans les fuites de données. Ransomwares, vols d’informations patients et perturbations des soins sont devenus monnaie courante. En juillet 2024, le groupe Qilin a même annoncé publiquement des attaques ciblées contre des hôpitaux américains pour maximiser ses profits.

Des exemples concrets de collaboration criminelle

Plusieurs États ont déjà démontré leur capacité à exploiter des cybercriminels pour leurs propres intérêts :

• Russie : L’unité APT44 (alias Sandworm) utilise des outils issus du marché noir cybercriminel pour espionner et saboter des infrastructures en Ukraine. En parallèle, le groupe CIGAR (RomCom) mène des attaques de type ransomware tout en collectant des renseignements pour Moscou.
• Chine : Certains groupes d’espionnage chinois, comme UNC2286, mènent en parallèle des campagnes d’extorsion pour générer des revenus, tout en accomplissant des missions d’État.
• Iran : Des cybercriminels iraniens déploient des ransomwares pour financer leurs opérations, une tactique déjà observée chez plusieurs acteurs étatiques.
• Corée du Nord : APT38 et d’autres groupes liés au régime volent des cryptomonnaies pour contourner les sanctions et financer le développement d’armes.

Ces exemples montrent que les États ne se contentent plus de recruter des hackers : ils exploitent l’ensemble de l’écosystème cybercriminel pour atteindre leurs objectifs.

Comment répondre à cette menace hybride ?

Face à cette mutation, les solutions classiques ne suffisent plus. La lutte contre cette alliance entre cybercriminels et États passe par plusieurs leviers :

• Renforcer la coopération internationale : Les attaques dépassent les frontières, la réponse doit être globale. Le partage d’informations entre gouvernements et entreprises privées est essentiel.
• Démanteler les écosystèmes criminels : Plutôt que de cibler uniquement les groupes de hackers, il faut s’attaquer à leurs fournisseurs, hébergeurs et infrastructures.
• Élever la cybersécurité au rang de priorité nationale : Les cyberattaques touchent désormais la stabilité économique et politique des pays. Investir dans des capacités de défense avancées est une nécessité.
• Protéger les infrastructures critiques : Santé, énergie, transports… Tous ces secteurs doivent être mieux protégés contre les attaques qui mélangent espionnage et extorsion.

Une menace en constante évolution

L’utilisation croissante des cybercriminels par les États modifie profondément le paysage de la cybersécurité. Ce phénomène brouille les pistes et rend l’attribution des attaques plus complexe. Pour les entreprises et les gouvernements, l’heure est à l’adaptation : la cybersécurité n’est plus seulement une question technique, mais un enjeu stratégique et géopolitique majeur.

Pour en savoir plus

Cybercriminalité : une menace multiforme pour la sécurité nationale

Résumé La cybercriminalité constitue la majorité des activités malveillantes en ligne et occupe la majorité des ressources des défenseurs. En 2024, Mandiant Consulting a répondu à près de quatre fois plus d’intrusions menées par des acteurs motivés par des intérêts financiers que d’intrusions soutenues par des États. Malgré cela, les cybercriminels sont plus susceptibles de se retrouver dans une situation de cybercriminalité.

Lire la suite sur Cloud Blog

Les pirates motivés par l’argent aident leurs homologues espions et vice versa

Les chercheurs ont constaté cette semaine une collaboration croissante entre les groupes de pirates informatiques qui se livrent à des activités d’espionnage pour le compte d’États-nations et ceux qui cherchent à tirer des bénéfices financiers des rançongiciels et d’autres formes de cybercriminalité. Il y a toujours eu un certain degré de chevauchement entre ces deux groupes…

Lire la suite sur Ars Technica

(Re)découvrez également:

Cybermenaces 2024 : La montée des collaborations entre États-nations et réseaux cybercriminels

Le rapport 2024 d’OpenText révèle une collaboration accrue entre États-nations et cybercriminels, ciblant les infrastructures critiques et augmentant les menaces liées aux chaînes d’approvisionnement globales.

Lire la suite sur dcod.ch