Le marketing des produits et services à la sauce cybercriminelle

Le milieu cybercriminel est hautement concurrentiel, ce qui pousse les pirates informatique à évoluer. Il ne suffit pas de créer le meilleur « produit », il faut savoir le vendre et le défendre, contre les solutions anti-virales mais également face aux concurrents.

Des codes malveillants sont d’ailleurs dotés de fonctionnalités permettant de détecter les logiciels concurrents malveillants et de les supprimer sur des ordinateurs compromis.

Concurrence à la création

La concurrence commence dès l’étape de la création des kits d’exploits. Les pirates font appel à des graphistes pour avoir un logo et une interface utilisateur les plus attractifs possibles.

Logos de différents kits d’exploits (Kahu Security)

logos kits exploits

Page d’accueil du « programme partenaire » (associé) dogmamillions.com

dogmamillions

Pour la création d’un malware ou d’un kit plus perfectionné, les groupes criminels tentent de recruter les codeurs (programmeurs) les plus performants. Ceux-ci à leur tour se livrent à une concurrence acharnée, ce qui provoque parfois la fuite d’information de produits concurrents, voire des codes sources sur des forums ouverts à tous.

Ils s’inspirent eux-mêmes des produits des concurrents ou des chercheurs en sécurité publiant des exploits et failles de tel ou tel programme.

Concurrence entre groupes de pirates

Devenus de véritables salons professionnels de la cybercriminalité, les forums de « black market » comportent de vraies campagnes de désinformation. Récemment un « promoteur » du malware Citadel a été banni d’un forum suite à la plainte d’un acheteur qui l’a accusé de « devenir corrompu à cause de l’argent gagné grâce à ce programme »[1] malveillant… Nous ne saurons jamais s’il s’agissait d’une opération de déstabilisation de concurrents ou si le « service après-vente » était devenu vraiment exécrable.

Dans la La couverture du livre « Confidence d’un cardeur ». Le livre a eu du succès et le volume 2 est paru. Un film est en préparation« littérature hacker » qui commence à émerger, d’anciens cybercriminels parlent d’ailleurs de cette peur qui les poursuit quotidiennement : dans le livre « Confidence d’un cardeur » sorti en Russie en 2010, un ancien cardeur raconte à quel point il est difficile de trouver un complice sur les forums, la plupart essayent d’arnaquer ses associés pour s’emparer du magot.

Un autre ancien pirate a déposé sur un forum un livre où il raconte entre autres comment l’un de ses amis a été « donné » aux forces de l’ordre russes par son co-équipier afin de s’approprier son business florissant.

Parfois, les cybercriminels confirmés piègent des apprentis pirates en leur proposant des numéros de cartes bancaires générés automatiquement.[2]  Mais des « sections » où les utilisateurs peuvent indiquer les pseudos ou d’autres informations concernant les escrocs (d’escrocs) existent sur les forums underground.

Importance du « support client »

Les « créateurs » des codes malveillants n’ont pas de service marketing formellement établi, mais ils procèdent selon les préceptes du marketing pour promouvoir et vendre leurs kits d’exploits ou des malwares. Pour attirer les  acheteurs, ils mettent en avant la disponibilité 24h/24 du support client ou les réductions importantes faites aux acheteurs « fidèles ». Ils font également attention à la façon dont ils concluent l’affaire sur les forums.  L’avis positif d’un utilisateur, racontant que le vendeur a bien répondu à toutes ses questions et que celui-ci l’a aidé à configurer le logiciel, a par exemple beaucoup d’influence. Les commentaires sont donc sujet à une attention (voire manipulation) particulière de la part de ces fournisseurs de produits et services.

« J’ai acheté la mise à jour. Tout fonctionne mieux. L’auteur a tout installé et expliqué. Je suis content, tout va bien. »

L’aboutissement sur l’échelle de professionnalisation de la cybercriminalité a été la sortie au mois d’octobre 2012 de la deuxième version du kit d’exploits Blackhole, le produit le plus abouti et actuellement le plus utilisé par les cybercriminels. Il est en effet absolument partout.[3] Les créateurs de cet outil perfectionné permettant de générer des profits pour lui-même et ses clients rappellent ainsi ce qu’ils ont amélioré et soulignent fièrement  avoir implémenté toutes les suggestions des clients. Les mises à jour sont d’ailleurs gratuites pendant la durée de la licence.

Extrait de la présentation de BH : http://pastebin.com/DjGi7iyf

bh

« Nous sommes ravis de vous présenter la nouvelle version du pack d’exploits. Depuis plus de 2 ans d’existence de notre projet, l’ancien « moteur » a été très utilisé et les entreprises de sécurité le repèrent de plus en plus souvent comme un BlackHole ou le définissent comme un malware. Dans la nouvelle version nous avons tout réécrit de zéro, non seulement la partie de distribution, mais aussi l’interface d’administration. »

Les créateurs de Blackhole gardent toutefois la main sur leur produit : les utilisateurs peuvent acheter des licences, mais ils ne peuvent rien ajouter ou changer directement.

Dans le monde économique moderne, les entrepreneurs respectent certaines limites morales ou éthiques. Les « entrepreneurs » du monde cybercriminel ne s’embarrassent pas de ce genre de considérations et ont comme seul point de mire les retombées financières de leurs opérations. Les équipes intervenant à chaque étape de la conception à la mise en service et à l’exploitation des logiciels malveillants sont spécialisées, hiérarchisées et cloisonnées, à l’image des organisations criminelles.

Ce système a fait ses preuves et fonctionne à plein régime, ce qui laisse peu de chance de le voir disparaître à moyen terme.

 

[1] Citadel developer banned from crime forum: http://www.scmagazine.com.au/News/326175,citadel-developer-banned-from-crime-forum.aspx

[2] Cybercriminals entice potential cybercriminals into purchasing bogus credit cards data: http://blog.webroot.com/2012/12/18/cybercriminals-entice-potential-cybercriminals-into-purchasing-bogus-credit-cards-data/