Les experts de l’équipe Kaspersky Digital Footprint Intelligence ont analysé les ventes de botnets sur le Dark Web et les canaux Telegram clandestins, et découvert que les cybercriminels peuvent acquérir des solutions prêtes à l'emploi à partir de 99$. En plus des achats ponctuels, les botnets peuvent être loués ou acquis sous forme de code source préalablement divulgué pour un prix symbolique. Dans certains cas, il est également possible de demander le développement des réseaux de botnets sur mesure.
Un botnet est un réseau d'appareils infectés par des logiciels malveillants, allant de la brosse à dents connectée aux équipements informatiques industriels avancés, que les attaquants exploitent pour organiser des attaques de grande ampleur automatisées, telles que des attaques par déni de service (DDoS).
« Mirai est l'un des exemples de botnets les plus connus. Le logiciel parcourt le Web à la recherche de dispositifs IoT dont les mots de passe sont faibles, utilise un ensemble d'informations d'identification connues par défaut pour y accéder, et les infecte. Les appareils infectés deviennent alors partie intégrante du botnet, et peuvent être contrôlés à distance pour exécuter des cyberattaques diverses », explique Alisa Kulishenko, analyste de sécurité chez Kaspersky Digital Footprint Intelligence.
Les botnets comme Mirai sont conçus pour être vendus et disposent de processus d'infection, de types de logiciels malveillants, d'infrastructures et de mécanismes d'évasion personnalisés. Les cybercriminels les vendent à d'autres acteurs de la menace sur le marché noir, à des prix dépendant de la qualité des botnets développés : cette année, les offres les plus basses étaient proposées pour 99$, et les plus élevées pouvaient afficher des tarifs allant jusqu’à 10 000$.
Les botnets sont également disponibles à la location. Les prix varient de 30 à 4 800$ par mois.
« Les gains potentiels des attaques utilisant des botnets à la location ou à la vente peuvent dépasser les coûts associés à ces dépenses. Ils permettent des activités allant du minage illégal de crypto-monnaies aux attaques par ransomware. Selon des sources publiquement accessibles, le montant moyen d'une rançon s'élève à deux millions de dollars américains ! En revanche, la location d'un botnet coûte beaucoup moins cher et peut être amortie en une seule attaque », ajoute Alisa Kulishenko. Depuis le début de l'année 2024, les experts de Kaspersky ont observé plus de 20 offres de location ou de vente de botnets sur des forums du Dark Web et des canaux Telegram.
Autres options : les fuites de bots et le développement personnalisé
Parallèlement aux solutions prêtes à l'emploi, il existe des moyens encore moins onéreux pour les acteurs malveillants d'accéder aux botnets. De la même manière que des données légitimes peuvent être divulguées, le code source d'un botnet peut également être rendu public par des cybercriminels. L'accès à ce code source divulgué peut être obtenu gratuitement, ou moyennant une redevance de 10 à 50$, d'après des informations provenant d'environ 400 messages trouvés sur le Dark Web et sur Telegram en 2024. Toutefois, les botnets divulgués de la sorte sont surtout envisagés par les acteurs les moins expérimentés, car ils sont plus susceptibles d'être détectés par les solutions de sécurité.
Les cybercriminels peuvent commander le développement d'un botnet de A à Z. Les frais de conception commencent à 3 000$ et ne sont pas limités à une fourchette de prix spécifique. « La plupart de ces transactions se font en privé, par le biais de messages directs, et les partenaires sont généralement choisis en fonction de leur réputation, tel que leur notation sur des forums », explique Alisa Kulishenko.
