Dans un communiqué de presse de début décembre 2007, G DATA, éditeur de logiciels de sécurité informatique, produit une étude sur l'industrie lucrative du spam. Ce commerce est organisé. L'objectif est de séduire et de recruter un maximum de spammers avec des offres personnalisées, des offres d'essai, des tarifs avantageux... 

• Un marché organisé
  G DATA a analysé la structure de l'industrie du cyber crime et ses acteurs. Les résultats sont édifiants. On connaissait déjà les attaques DDoS (qui rendent une application informatique incapable de répondre aux requêtes des utilisateurs) ou encore les millions de spams payés à la commission pour une centaine d'euros. Mais maintenant, les cyber-criminels sont organisés en réseaux et proposent une large gamme de « services ».
  
  
• Les « discounter » du spam
  Ralf Benzmüller, le directeur du laboratoire de sécurité de G DATA, précise qu'aujourd'hui les cyber-criminels sont comme des épiciers. Ils proposent un large choix de prestations pour recruter un maximum de cyber-criminels. Vous pouvez acquérir un outil d'envoi d'e-mails et 5 millions d'adresses e-mails pour 140 euros ou encore 20 millions d'adresses emails à spammer pour seulement 350 euros. Certains fournisseurs vont même jusqu'à offrir les 10 premières minutes de leurs prestations pour convaincre leurs acheteurs. Après, il faut débourser en moyenne 20 US$ par heure ou 100 US$ par jour.
  
  
• G DATA s'est aussi penché sur les jeux en ligne. Un compte au jeu WoW (World Of Warcraft) se vend 6 euros alors que les informations liées aux cartes de crédit se vendent en moyenne à 3 euros !
  
  
• Vente de failles et chevaux de Troie
  L'activité la plus lucrative concerne les failles de sécurité et certains chevaux de Troie. En effet, une faille de sécurité peut se vendre 35 000 euros. Et il n'est pas rare d'empocher plusieurs dizaines de milliers d'euros pour un Cheval de Troie. On peut aussi trouver des failles de sécurité dans Windows et Linux pour seulement 500 euros sur le site d'enchères WabiSabiLabi qui se justifie en expliquant que les chercheurs en sécurité se font souvent claquer la porte au nez par les éditeurs de logiciels lorsqu'ils annoncent avoir trouvé une faille dans un de leurs logiciels (ou comment être un WhiteHat tout en en tirant les revenus d'un BlackHat.) WabiSabiLabi prétend ainsi peser sur les éditeurs qui peuvent "racheter" leur faille avant qu'un exploit zero-day ne soit lancé - un papier sur WabiSabiLabi et leur page de mise aux enchères de failles).
  
  Une faille "Zero-day" dans Vista a été mise en vente 50.000 US$ selon Trend Micro. Le prix moyen de vente d'informations sur de la découverte d'un faille de sécurité non patchée (à exploiter) se situe entre 20.000 US$ et 30.000 US$ selon la popularité du logiciel et la fiabilité du code de l'attaque.
  
  Un zombiificateur et son cheval de Troie sont couremment vendus 5.000 US$ selon Gene Raimund (Trend Micro).
  
  Un trojan sur mesure capable de voler des informations sur des comptes en ligne se trouve entre 1.000 et 5.000 US$.
  
  Un outil de construction d'un BotNet se trouve entre 5.000 US$ et 20.000 US$.
  
  En décembre 2005, Kaspersky découvre que l'exploit permettant l'attaque WMF (Windows Metafile) était proposé par un groupe de Hacker Russe pour 4.000 US$. Ces ventes d'exploits se faisant des milliers de fois pour chaque exploit, Gene Raimund (directeur des technologies chez Trend Micro) est aller jusqu'à dire que "Le marché du malware fait plus d'argent que le marché des anti-malwares".
  
  
• Numéros de cartes de crédit
  Les numéros de carte de crédit valides avec codes secrets sont vendus pour 500 US$ chacun, tandis que les données de facturation qui incluent un numéro de compte, adresse, numéro de sécurité sociale, adresse du domicile et la date de naissance peuvent être trouvées entre 80 US$ et 300 US$.
  
  
• Location de BotNet
  Le quotidien russe « Vedomosti » publiait le 10 juin 2005 un courrier électronique reçu d'un informaticien louant ses "services de blocage de systèmes d'information", via une attaque DDoS. Il affichait ses tarifs selon le nombre d'heures de blocage espéré et la taille du site à faire tomber : une journée pour un site "normal" = 150 US$, 1000 US$ pour le site du Kremlin durant une semaine, 80 000 US$ pour celui de Microsoft, etc. … Ce gars là est donc "propriétaire" d'un BotNet et a zombiifié quelques milliers à millions de machines.
  
  
• Achat / Vente de BotNet
  Le prix d'achat comptant d'un botnet moyen dans sa totalité s'inscrit dans une fourchette de 5.000 US$ à 7.400 US$, selon (mai 2007). Le SANS Internet Storm Center a reçu un rapport indiquant que les prix d'achat sur les botnets ont baissé récemment, grâce en partie à des groupes de Russie prêts à les vendre pour aussi peu que 25 cents par zombi. (Lenny Zeltser)