L'essor du ransomware-as-a-service : comment la cybercriminalité est devenue une entreprise

Vue grand-angle de programmeurs informatiques utilisant un PC au bureau

Auteur

Syed Jawwad

Security Consultant

Le ransomware-as-a-service (RaaS) est devenu un modèle commercial révolutionnaire dans lequel les pirates informatiques associent les fonctionnalités des rançongiciels traditionnels à l’accessibilité des services basés sur le cloud. Cette démarche leur a permis de transformer l’extorsion numérique sophistiquée en une économie basée sur l’abonnement, accessible à presque tous les acteurs malveillants.

Historiquement, les attaques par ransomware étaient principalement menées par des pirates techniquement compétents qui écrivaient eux-mêmes leurs logiciels malveillants, les distribuaient via le phishing ou des kits d’exploitation, et négociaient directement avec la victime. Mais ce modèle traditionnel présentait des limites, telles que l’évolutivité limitée, l’exposition aux risques et la nécessité de disposer d’un large éventail de compétences. 

C’est ensuite le modèle RaaS qui est entré en scène. Dans ce modèle, les développeurs de ransomware créent des malwares robustes et les louent à leurs clients ou affiliés qui mènent les attaques proprement dites. Les développeurs reçoivent 20 à 40 % des bénéfices, tandis que les affiliés se partagent la part restante.

Cela a rendu la cybercriminalité plus accessible, permettant à des personnes aux compétences limitées de mener de puissantes attaques à l’aide d’outils avancés. 

Comment fonctionne le ransomware-as-a-service

Le RaaS est un modèle commercial de cybercriminalité dans lequel des pirates professionnels, appelés développeurs, créent et vendent ou louent des outils de ransomware prêts à l’emploi à des affiliés (d’autres criminels) qui les utilisent pour mener des attaques. Il existe plusieurs étapes, comme expliqué ci-dessous.

1. Développement du logiciel malveillant 

Le développeur ou l’opérateur conçoit la charge utile du ransomware. Les fonctionnalités incluent généralement :

  • Des algorithmes de chiffrement pour verrouiller les données des victimes
  • Des techniques d’auto-suppression
  • Des méthodes d’évasion pour contourner l’antivirus et l’EDR
  • Des canaux de communication intégrés (tels que les systèmes de commande et de contrôle basés sur TOR)

Certaines familles sophistiquées incluent même des fonctionnalités modulaires, telles que la propagation de type ver, l’évasion du bac à sable et le chiffrement multithreading. 

2. Hébergement de la plateforme RaaS 

Une fois le logiciel malveillant créé, il est compressé et mis à disposition sur des marketplaces du darknet ou des forums privés. Ces plateformes ressemblent à des sites SaaS légitimes, et leurs fonctionnalités incluent :

  • Des tableaux de bord utilisateurs pour suivre les infections
  • Un portail de paiement et gestion des clés de déchiffrement 
  • Des forums d’assistance
  • Des mises à jour et déploiements de fonctionnalités 
  • Du matériel marketing pour les affiliés

Certains groupes RaaS disposent même de portails de service client pour aider les affiliés à résoudre les problèmes de déploiement.

Selon Crowdstrike, les kits RaaS sont annoncés sur les marketplaces du darkweb et comprennent une assistance 24h/24 et 7j/7, des offres groupées, des avis d’utilisateurs, des forums et d’autres fonctionnalités identiques à celles offertes par les fournisseurs SaaS légitimes.

3. Recrutement des affiliés 

Les affiliés sont généralement d’autres cybercriminels qui n’ont pas le même talent que les développeurs de ransomware, mais qui peuvent propager des ransomwares en accédant à des réseaux réels.  

Dans les grandes opérations RaaS, le recrutement est généralement pris en charge par des gestionnaires d’affiliation ou des recruteurs. Une personne dédiée ou une petite équipe trouve, vérifie et intègre les affiliés. Dans les petites opérations RaaS ou les nouvelles entreprises, le recrutement est généralement effectué par le développeur ou l’opérateur lui-même.

Le recrutement se fait souvent via plusieurs sources, y compris des plateformes de messagerie privée comme Telegram ou Jabber, des forums du darkweb, ou des invitations à rejoindre des groupes privés.

Les développeurs peuvent évaluer soigneusement les affiliés avant de leur permettre de rejoindre le groupe. En retour, les affiliés ont accès au ransomware, à la documentation et aux outils. Parfois, ils ciblent le recrutement basé sur la réputation. Dans de rares cas, les attaquants peuvent utiliser de fausses offres d’emploi en informatique ou des plateformes de freelance pour recruter des personnes à leur insu ou pour tester leurs compétences.

4. Livraison de contenu 

Les affiliés gèrent la distribution des ransomwares en utilisant plusieurs sources, notamment :

  • E-mails de phishing avec pièces jointes malveillantes 
  • Publicité malveillante 
  • Sites Web compromis  
  • Exploitation de logiciels non corrigés ou de vulnérabilités 
  • Les courtiers en accès initial (IAB) ou les intrus initiaux (ces criminels vendent des points d’entrée compromis dans les réseaux)

Dans certains cas, les affiliés déploient également des techniques de double extorsion : ils volent d’abord les données avant de les chiffrer, puis menacent de les publier si la victime ne paie pas la rançon.  

5. Transactions avec la victime pour paiement 

Une fois les systèmes chiffrés, le ransomware affiche un message contenant des instructions de paiement. Ces criminels exigent généralement des cryptomonnaies comme le Bitcoin. Ils fournissent des instructions détaillées, notamment sur la manière d’utiliser Tor et les portefeuilles de crypto-monnaie, dans la note de rançon elle-même.

La victime reçoit les liens vers les portails de négociation. Ces portails sont généralement hébergés sur TOR. Certains groupes RaaS automatisent ces conversations à l’aide de chatbots, tandis que d’autres proposent à des opérateurs humains de gérer les négociations de prix. 

Ces groupes partagent clairement leurs responsabilités. Les affiliés sont responsables de déployer des ransomwares, de livrer la note de rançon, d’établir la communication initiale et de gérer les négociations. Le développeur principal ou l’équipe de développeurs fournit le backend en hébergeant des portails, en vérifiant les paiements et en distribuant des clés de déchiffrement.

6. Partage des bénéfices 

Lorsque ces groupes réussissent à extorquer de l’argent à la victime, ils divisent les fonds selon leur accord. Le montant convenu revient au développeur et le reste sera conservé par l’affilié. 

Modèles économiques de RaaS

Il existe plusieurs modèles de RaaS, notamment :

  • Affiliation/Partage des bénéfices : les affiliés ne paient aucun frais initial, mais les développeurs perçoivent une part de chaque rançon. C’est le modèle le plus courant.
  • Abonnement : les affiliés paient une redevance mensuelle pour avoir accès au kit de ransomware et à l’assistance. 
  • Licence unique : un prix fixe donne un accès illimité au logiciel malveillant, mais sans assistance continue.
  • Construction sur mesure : un ransomware sur mesure vendu à un seul acheteur, souvent pour des attaques ciblées ou très médiatisées.

Groupes RaaS réels 

Voici quelques-uns des groupes de ransomware les plus populaires qui opèrent selon le modèle RaaS :

  • REvil : ce groupe proposait des tableaux de bord détaillés à ses affiliés et négociait souvent des rançons en leur nom avant de se dissoudre.
  • DarkSide : ce groupe est connu pour son image de marque professionnelle, ses déclarations de relations publiques et même son code de conduite.
  • Conti : ce groupe a fonctionné comme une entreprise, avec des salaires, des responsables et des évaluations des performances avant de se dissoudre.
  • LockBit : ce groupe est toujours actif, connu pour ses tactiques agressives et ses sites de fuites publics.

Précautions : comment se défendre contre le RaaS

Pour se protéger du RaaS, les entreprises devraient choisir une stratégie de défense à plusieurs niveaux, comprenant :

  1. La sensibilisation des utilisateurs : le phishing est le point d’entrée le plus courant. Une formation régulière peut sensibiliser les utilisateurs aux cyberattaques. 
  2. Une détection comportementale et heuristique : chaque jour, le RaaS lance de nouveaux services.   Les indicateurs de compromission (IOCs) peuvent détecter la présence d’une activité malveillante ou la preuve d’une violation de la sécurité au sein d’un réseau, d’un système ou d’un point de terminaison. Lorsque chaque seconde compte lors d’une attaque de ransomware, les outils EDR/XDR peuvent détecter, contenir et réagir en temps réel
  3. Une cartographie des signatures : chaque famille de ransomware possède des signatures comportementales et des caractéristiques de charge utile distinctes. Le mappage de ces signatures permet de créer des défenses plus ciblées. Les entreprises peuvent régulièrement mettre à jour les flux de renseignement sur les menaces et les intégrer avec les plateformes SIEM ou SOAR. Le framework MITRE ATT&CK ou Threat Fox sont très utiles à cette fin. Les utilisateurs peuvent opter pour un abonnement à Any.run Malware Trends pour obtenir des rapports réguliers et détaillés sur les principaux types de malware, IOC ou TTP. Les utilisateurs peuvent également tirer parti de leur tableau de bord pour voir des informations détaillées sur les familles de logiciels malveillants.
  4. Le contrôle de l’intégrité des fichiers : si les utilisateurs effectuent un contrôle de l’intégrité des fichiers, ils peuvent facilement détecter les modifications non autorisées apportées aux fichiers et aux répertoires d’un système. Ils seront alertés lorsque des fichiers critiques (comme les configurations système ou les fichiers exécutables) sont modifiés, supprimés ou ajoutés. Cela permet d’identifier rapidement les signes de logiciels malveillants, de portes dérobées ou même de menaces internes.
  5. Des correctifs et mises à jour : les correctifs réguliers jouent un rôle clé dans la défense contre le RaaS, car de nombreux affiliés RaaS recherchent des logiciels non corrigés pour y accéder.
  6. La détection et la réponse des terminaux (EDR) : le déploiement de l’EDR protège contre le RaaS. L’EDR effectue une analyse comportementale pour détecter les ransomwares dès les premières phases d’exécution.
  7. Une architecture de sécurité Zero Trust : en utilisant une architecture de sécurité Zero Trust, les mouvements latéraux seront limités, même si un système est compromis.
  8. La segmentation : la segmentation du réseau permet d’éviter un chiffrement complet du réseau en isolant les systèmes critiques dans différents segments.
  9. Des sauvegardes hors ligne : les sauvegardes hors ligne sont immunisées contre les infections ; ainsi, si les sauvegardes en ligne sont compromises, les utilisateurs peuvent les restaurer en toute sécurité à partir de copies hors ligne.
  10. La conformité : le maintien de la conformité des points de terminaison réduit considérablement le risque posé par le Ransomware-as-a-Service (RaaS). Les entreprises doivent s’assurer que leurs systèmes ne présentent aucune vulnérabilité et qu’ils sont mis à jour avec les dernières définitions de logiciels anti-malveillants.

Le Ransomware-as-a-Service a réduit les contraintes d’accès à la cybercriminalité, permettant même aux pirates les moins qualifiés de lancer des campagnes dévastatrices. Avec des opérations bien organisées, des réseaux d’affiliés et des modèles de partage des bénéfices, le RaaS continue d’évoluer rapidement. 

Pour contrer cette menace, les organisations doivent adopter une stratégie de défense à plusieurs niveaux qui comprend la formation des utilisateurs, des sauvegardes régulières, l’utilisation d’EDR/XDR, des renseignements sur les menaces et une réponse rapide aux incidents.
