Qu’est-ce qu’un « ransomware as a service » (RaaS) ?
Le ransomware en tant que service (RaaS) est un modèle commercial basé sur l’abonnement qui permet aux affiliés de lancer des attaques par ransomware en accédant à des outils de ransomware prédéveloppés et en les utilisant.
L’auteur du ransomware met le logiciel ou le malware payant à la disposition de ses affiliés – des clients ayant peu de compétences techniques – qui utilisent le logiciel pour prendre en otage les données des gens. L’utilisation de RaaS permet aux affiliés de percevoir un pourcentage sur chaque rançon payée, ce qui leur permet d’accéder à un domaine de pratiques d’extorsion auparavant réservé aux auteurs de ransomwares ou aux pirates informatiques expérimentés.
Ce modèle commercial permet à l’auteur du logiciel malveillant d’augmenter les revenus tirés de son logiciel, en encourant moins de risques personnels que s’il l’utilisait lui-même. En proposant son logiciel à d’autres personnes, l’auteur du logiciel malveillant n’est plus impliqué dans l’acte criminel final, puisque c’est une autre personne qui se charge de la rançon.
Le ransomware et le RaaS sont des activités criminelles qui sont presque toujours illégales dans le monde entier.
Lire aussi >> Ransomwares 2024 : l’escalade des coûts menace les entreprises
Comment fonctionne le ransomware en tant que service ?
Le modèle RaaS consiste à fournir des logiciels rançonneurs sous la forme d’un logiciel-service (SaaS). Au sommet de la hiérarchie organisationnelle se trouve l’opérateur RaaS. C’est lui qui développe la charge utile du ransomware qui crypte les données de l’utilisateur.
L’opérateur de ransomware gère également toute l’infrastructure dorsale nécessaire à l’exécution de la campagne de ransomware. Il s’agit du code du ransomware, d’un portail qui permet aux clients potentiels de s’inscrire et d’utiliser le service, et d’un service clientèle pour soutenir les campagnes. Les opérateurs RaaS à service complet gèrent également les paiements des ransomwares – généralement via une crypto-monnaie telle que Bitcoin – et fournissent des clés de décryptage aux victimes qui paient la rançon. En outre, les opérateurs RaaS font activement la publicité de leurs services sur différents forums clandestins du dark web.
Qu’est-ce que le modèle RaaS ?
Il existe plusieurs modèles d’affaires et de revenus différents pour le RaaS, dont les suivants :
- Abonnement mensuel. En tant que modèle SaaS, RaaS est proposé aux utilisateurs potentiels sur la base d’un abonnement mensuel. Les utilisateurs paient un forfait mensuel et reçoivent un petit pourcentage sur chaque rançon réussie.
- Frais de licence unique. Le modèle RaaS est proposé aux utilisateurs moyennant une redevance unique. Après avoir effectué un paiement unique, les utilisateurs bénéficient d’un accès illimité aux services et n’ont pas à partager les bénéfices avec les opérateurs RaaS.
- Programmes d’affiliation. Un modèle d’affiliation a pour objectif sous-jacent d’augmenter les bénéfices. L’opérateur RaaS prend un pourcentage prédéterminé de chaque paiement de rançon effectué par les victimes.
- Partage pur des bénéfices. Dans ce modèle commercial, une fois que l’affilié a acheté une licence, les bénéfices sont répartis entre les utilisateurs et les opérateurs selon des pourcentages prédéterminés.
Ransomware VS ransomware en tant que service (RaaS)
Le ransomware est la charge utile du logiciel malveillant qui est utilisée pour crypter les données du système de la victime. Lorsqu’un système est infecté par un ransomware, la victime est invitée à payer une rançon. Si la victime paie la rançon, l’attaquant lui fournit une clé de décryptage pour restaurer les données cryptées.
Le ransomware as a service est un service que les développeurs de ransomware proposent aux abonnés qui paient pour être affiliés au programme. Un seul acteur de la menace peut développer son propre code de ransomware, mais sa portée est limitée.
RaaS élargit l’accessibilité et la portée potentielle des ransomwares. Au lieu qu’un seul groupe utilise un code de ransomware pour attaquer les victimes, de nombreux groupes d’attaquants peuvent utiliser RaaS pour exploiter les victimes avec une infection de ransomware.
Exemples de ransomwares en tant que service
Ces dernières années, les auteurs de ransomwares ont découvert la nature lucrative de l’exploitation d’une opération RaaS. Et les groupes d’acteurs de la menace n’ont pas manqué de mettre en place des opérations RaaS pour diffuser des ransomwares dans presque tous les secteurs d’activité.
Voici quelques fournisseurs de RaaS :
- DarkSide. Parmi les opérateurs RaaS les plus connus, ce groupe serait responsable de l’attaque Colonial Pipeline en mai 2021. DarkSide aurait démarré en août 2020 et a été particulièrement actif au cours des premiers mois de 2021.
- Dharma. Le ransomware Dharma est apparu pour la première fois en 2016 et était initialement connu sous le nom de CrySis. Au fil des ans, il y a eu de nombreuses variantes de Dharma Ransomware, mais en 2020, Dharma a émergé dans un modèle RaaS.
- DoppelPaymer. DoppelPaymer a été associé à plusieurs incidents, dont un contre un hôpital en Allemagne en 2020 qui a entraîné la mort d’un patient.
- LockBit. LockBit est apparu pour la première fois en septembre 2019 sous la forme du virus « .abcd », qui est l’extension de fichier utilisée par le groupe pour chiffrer les fichiers des victimes. Parmi les attributs de LockBit figure sa capacité à s’autopropager automatiquement dans un réseau cible. Cela en fait un RaaS attrayant pour les attaquants potentiels.
- Maze. Comme de nombreux autres opérateurs RaaS, Maze a fait son apparition en 2019. Au-delà du simple chiffrement des données des utilisateurs, le groupe RaaS a également tenté de faire honte aux victimes en menaçant de partager les données publiquement. Pour des raisons qui restent assez floues, le RaaS Maze a officiellement fermé ses portes en novembre 2020. Cependant, certains chercheurs pensent que les mêmes cybercriminels ont continué sous un autre nom, comme Egregor.
- REvil. Bien qu’il existe de nombreux opérateurs RaaS, aucun n’a été aussi omniprésent que REvil. Le RaaS REvil a été impliqué dans l’attaque de Kaseya, qui a touché au moins 1 500 organisations en juillet 2021. Le groupe serait également responsable d’une attaque contre le producteur de viande JBS USA en juin 2021, au cours de laquelle la victime a payé une rançon de 11 millions de dollars. En mars 2021, REvil a également été identifié comme étant à l’origine d’une attaque par ransomware contre l’assureur cybernétique CNA Financial.
- Ryuk. Ryuk serait actif depuis au moins 2017, bien que le RaaS ait été plus actif en 2019. Certains chercheurs ont prétendu que le groupe était basé en Corée du Nord, ce qui a été réfuté par de nombreuses entreprises de sécurité, notamment CrowdStrike et FireEye.
- RTM Locker. Read the Manual (RTM) Locker est un fournisseur Raas émergent qui a été documenté pour la première fois en 2015 en tant que malware bancaire. Il a depuis évolué en tant que fournisseur RaaS et est connu pour offrir un modèle commercial standard basé sur l’affiliation. Les affiliés de RTM disposent d’une interface web pour contrôler leurs opérations de cybercriminalité, ainsi que d’une explication détaillée des lignes directrices, des objectifs et des stratégies offensives suggérées par le groupe.
Comment prévenir les attaques par ransomware-as-a-service ?
Voici quelques bonnes pratiques pour réduire le risque de ransomware.
Lire aussi >> 5 techniques pour se défendre contre les attaques ransomwares
- Assurer la sauvegarde et la récupération des données. La première étape, sans doute la plus importante, consiste à mettre en place un plan de sauvegarde et de récupération des données. Les ransomwares chiffrent les données, les rendant inaccessibles aux utilisateurs. Si une organisation dispose de sauvegardes à jour qui peuvent être utilisées lors d’une opération de récupération, cela peut réduire l’effet du chiffrement des données par un attaquant.
- Mettre à jour les logiciels. Les rançongiciels exploitent souvent des vulnérabilités connues dans les applications et les systèmes d’exploitation. La mise à jour des logiciels au fur et à mesure de la sortie des correctifs et des mises à jour est nécessaire pour aider à prévenir les ransomwares et autres cyberattaques.
- Utilisez l’authentification multifactorielle. Certains attaquants de ransomwares utilisent le credential stuffing – où les mots de passe volés sur un site sont réutilisés sur un autre – pour accéder aux comptes des utilisateurs. L’authentification multifactorielle réduit l’effet d’un seul mot de passe réutilisé, puisqu’un deuxième facteur est toujours nécessaire pour obtenir l’accès.
- Mettre en place une protection contre le phishing. L’hameçonnage par courriel est un vecteur d’attaque courant pour les ransomwares. La mise en place d’une forme de sécurité anti-phishing pour les courriels peut potentiellement prévenir les attaques RaaS.
- Utiliser le filtrage DNS. Les ransomwares communiquent souvent avec la plateforme d’un opérateur RaaS en utilisant une forme de serveur de commande et de contrôle (C2). Les communications entre un système infecté et le serveur C2 impliquent presque toujours une requête DNS (Domain Name System). Grâce à un service de sécurité par filtrage DNS, les entreprises peuvent identifier les tentatives de communication d’un ransomware avec le serveur C2 du RaaS et bloquer ces communications. Cela peut constituer une forme de protection contre l’infection.
- Mettre en œuvre la sécurité XDR des points d’extrémité. Une autre couche critique pour la protection contre les ransomwares est la protection des points finaux et les technologies de chasse aux menaces – telles que XDR et les logiciels antivirus. Ces technologies offrent des capacités de détection et de réponse étendues qui peuvent limiter les risques liés aux ransomwares.
- Gérer la sécurité des tiers. Pour éviter les atteintes à la sécurité des tiers, les entreprises doivent garder un œil sur les pratiques de sécurité de tous leurs fournisseurs.
- Restreindre l’accès. Pour éviter les problèmes de sécurité, les entreprises doivent limiter l’accès à l’administration et au système aux personnes qui en ont réellement besoin.
- Former le personnel. Pour les entreprises, former régulièrement leurs employés aux meilleures pratiques de cybersécurité et aux tactiques d’ingénierie sociale peut être un moyen efficace de prévenir les attaques RaaS et les cybermenaces en général.
L’avenir du RaaS
La fréquence des attaques ciblées par ransomware augmente à mesure que l’adoption des services RaaS se développe. Les ransomwares représentaient environ 25 % des cybercrimes en 2023. Le paysage des menaces de cybersécurité est constamment marqué par l’émergence de nouvelles variantes de ransomwares, ce qui oblige les équipes de sécurité à réagir en appliquant des programmes de correction et en remédiant rapidement aux vulnérabilités connues.
D’un autre côté, il a été signalé que des gangs de ransomwares faisaient l’objet d’une surveillance accrue et d’arrestations de la part des gouvernements. Un exemple notable est la saisie par le ministère américain de la justice de 6 millions de dollars auprès de REvil.
Bien qu’il soit difficile de déterminer avec certitude la trajectoire future des attaques RaaS, il est important que les entreprises adoptent de manière proactive des mesures pour atténuer les attaques RaaS potentielles.
Les organisations de divers secteurs d’activité risquent de devenir la cible de cybercriminels motivés par des considérations financières. Explorez les articles proposés par CyberCare afin de vous protéger. N’hésitez pas à nous contacter pour plus d’informations !