Un botnet est un réseau d'ordinateurs infectés par des logiciels malveillants qui permet à un acteur malveillant – le botmaster – de les contrôler à distance. Les ordinateurs infectés – les bots – communiquent avec un serveur de commande et de contrôle (C&C) pour recevoir leurs commandes. La cas d'utilisation pour les bots sont trop nombreux pour être énumérés ici, mais comprennent généralement :
- Vol de données confidentielles et financières
- Vol d'identifiants
- Envoi de spam
- Le botnet se propage à d'autres machines, soit sur le réseau local, soit sur Internet
Peu de botmasters disposent du temps, de l'expertise et des ressources nécessaires pour monétiser les informations et les services issus de leurs botnets. Pour développer un botnet à des dizaines, voire des centaines de milliers de bots, il faut un sérieux dévouement. Il est donc beaucoup plus logique pour les botmasters de se concentrer sur la croissance de leurs botnets et de louer leurs bots à des acteurs malveillants qui ont besoin de leurs informations et de leurs ressources. Cela a conduit à la création d'étonnamment grands marchés où les bots peuvent être loués, et leurs informations et identifiants volés et abusés.
Une offre restreinte de robots canadiens
Nous surveillons un tel marché depuis plusieurs mois maintenant et avons développé une bonne compréhension de la façon dont ces marchés fonctionnent.
Notre premier constat est que le approvisionnement quotidien de nouveaux robots canadiens sur ce marché majeur semble être très faible, variant à deux, voire à un chiffre par jour. Cela suggère que les vendeurs du marché sont incapables d'infecter de nombreux robots au Canada - une bonne nouvelle ! – ou qu'ils gardent pour eux les bots infectés. Le graphique ci-dessous montre le nombre de nouveaux robots mis en vente sur le marché pendant une semaine en janvier.
Figure 1. Nombre de nouveaux robots canadiens mis en vente par jour
Notre deuxième constatation est que même s'il existe de nombreux robots à vendre au Canada, les fournisseurs affichent les anciens bots avec les nouveaux pour donner l'impression que des milliers sont disponibles à l'achat. Il n'y a cependant qu'un sous-ensemble limité de bots qui peuvent être considérés comme frais, ce qui signifie qu'ils ont été récemment infectés et probablement encore sous le contrôle du botmaster. Le graphique ci-dessous présente la répartition des bots à vendre en fonction de la date d'infection. Étant donné que notre collecte de données a couvert les premières semaines de janvier, seules quelques centaines de bots ont été infectés en 2021. La plupart des bots ont été infectés en 2018 et 2019, et non en 2020 comme nous nous y attendions. Ces bots plus anciens représentent une faible valeur pour les acteurs malveillants car ils ne sont probablement plus sous le contrôle des botmasters.
Figure 2. Répartition des robots en fonction de l'année d'infection
Comment les robots sont-ils tarifés
Les vendeurs semblent fonder le prix des robots canadiens à la date de leur infection. Lorsque toutes les données sont prises en compte, le prix médian global d'un bot canadien est de 9 $. Cependant, les bots récemment mis à jour atteignent un prix médian de 35 $, tandis que ceux mis à jour en 2019 obtiennent un prix médian bas de 5 $. Le prix maximum pour un bot mis à jour en 2021 est de 350 $. Ces chiffres suggèrent que les robots canadiens peuvent être achetés pour bien moins de 100 $.
Figure 3. Répartition des prix des robots canadiens selon la dernière mise à jour
La distribution des prix suggère que les acteurs malveillants peuvent tenter leur chance et payer un prix bas pour un bot qui n'a pas été mis à jour depuis des années, avec un paiement probablement inférieur. Ils peuvent également se tourner vers un bot plus cher qui a été récemment infecté pour un prix plus élevé.
Offre et demande de robots canadiens
Avec une offre limitée de robots canadiens et la récompense potentiellement élevée qui découle de la location d'un robot, nous avons été surpris de constater que le le prix des bots était dans les dizaines de dollars en moyenne. Cela fait des robots une marchandise relativement bon marché qui peut être achetée par un large éventail d'acteurs malveillants.
Notre analyse montre à quel point les acteurs malveillants accordent de l'importance à la fraîcheur des bots qu'ils recherchent. Les robots qui ont été infectés il y a des mois perdent une grande partie de leur valeur. Cela suggère que les botmasters doivent constamment étendre leur botnet, ou risquer de voir sa valeur décroître rapidement avec le temps. Cela suggère également que les botmasters peuvent consacrer plus d'énergie à infecter de nouveaux bots, plutôt que de maintenir ceux qu'ils contrôlent déjà. Cela réduit les chances que les ordinateurs infectés il y a longtemps soient examinés et victimes autant que les ordinateurs nouvellement infectés.
Enfin, les informations d'identification semblent être le principal moteur des prix élevés. Les robots permettent la prise de contrôle de compte, un incident trop courant et dommageable. Les bots peuvent voler des noms d'utilisateur et des mots de passe, mais sont moins susceptibles d'avoir accès à une authentification à deux facteurs comme les SMS ou une application Authenticator. C'est un rappel fort de la valeur de l'activation de l'authentification multifacteur sur les services, en particulier lorsqu'il s'agit de comptes sensibles tels que les e-mails et les comptes d'entreprise.
