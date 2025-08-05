Le ransomware-as-a-service (RaaS) est devenu un modèle commercial révolutionnaire dans lequel les pirates informatiques associent les fonctionnalités des rançongiciels traditionnels à l’accessibilité des services basés sur le cloud. Cette démarche leur a permis de transformer l’extorsion numérique sophistiquée en une économie basée sur l’abonnement, accessible à presque tous les acteurs malveillants.
Historiquement, les attaques par ransomware étaient principalement menées par des pirates techniquement compétents qui écrivaient eux-mêmes leurs logiciels malveillants, les distribuaient via le phishing ou des kits d’exploitation, et négociaient directement avec la victime. Mais ce modèle traditionnel présentait des limites, telles que l’évolutivité limitée, l’exposition aux risques et la nécessité de disposer d’un large éventail de compétences.
C’est ensuite le modèle RaaS qui est entré en scène. Dans ce modèle, les développeurs de ransomware créent des malwares robustes et les louent à leurs clients ou affiliés qui mènent les attaques proprement dites. Les développeurs reçoivent 20 à 40 % des bénéfices, tandis que les affiliés se partagent la part restante.
Cela a rendu la cybercriminalité plus accessible, permettant à des personnes aux compétences limitées de mener de puissantes attaques à l’aide d’outils avancés.
Newsletter sectorielle
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la déclaration de confidentialité d’IBM.
Lire la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Le RaaS est un modèle commercial de cybercriminalité dans lequel des pirates professionnels, appelés développeurs, créent et vendent ou louent des outils de ransomware prêts à l’emploi à des affiliés (d’autres criminels) qui les utilisent pour mener des attaques. Il existe plusieurs étapes, comme expliqué ci-dessous.
Le développeur ou l’opérateur conçoit la charge utile du ransomware. Les fonctionnalités incluent généralement :
Certaines familles sophistiquées incluent même des fonctionnalités modulaires, telles que la propagation de type ver, l’évasion du bac à sable et le chiffrement multithreading.
Une fois le logiciel malveillant créé, il est compressé et mis à disposition sur des marketplaces du darknet ou des forums privés. Ces plateformes ressemblent à des sites SaaS légitimes, et leurs fonctionnalités incluent :
Certains groupes RaaS disposent même de portails de service client pour aider les affiliés à résoudre les problèmes de déploiement.
Selon Crowdstrike, les kits RaaS sont annoncés sur les marketplaces du darkweb et comprennent une assistance 24h/24 et 7j/7, des offres groupées, des avis d’utilisateurs, des forums et d’autres fonctionnalités identiques à celles offertes par les fournisseurs SaaS légitimes.
Les affiliés sont généralement d’autres cybercriminels qui n’ont pas le même talent que les développeurs de ransomware, mais qui peuvent propager des ransomwares en accédant à des réseaux réels.
Dans les grandes opérations RaaS, le recrutement est généralement pris en charge par des gestionnaires d’affiliation ou des recruteurs. Une personne dédiée ou une petite équipe trouve, vérifie et intègre les affiliés. Dans les petites opérations RaaS ou les nouvelles entreprises, le recrutement est généralement effectué par le développeur ou l’opérateur lui-même.
Le recrutement se fait souvent via plusieurs sources, y compris des plateformes de messagerie privée comme Telegram ou Jabber, des forums du darkweb, ou des invitations à rejoindre des groupes privés.
Les développeurs peuvent évaluer soigneusement les affiliés avant de leur permettre de rejoindre le groupe. En retour, les affiliés ont accès au ransomware, à la documentation et aux outils. Parfois, ils ciblent le recrutement basé sur la réputation. Dans de rares cas, les attaquants peuvent utiliser de fausses offres d’emploi en informatique ou des plateformes de freelance pour recruter des personnes à leur insu ou pour tester leurs compétences.
Les affiliés gèrent la distribution des ransomwares en utilisant plusieurs sources, notamment :
Dans certains cas, les affiliés déploient également des techniques de double extorsion : ils volent d’abord les données avant de les chiffrer, puis menacent de les publier si la victime ne paie pas la rançon.
Une fois les systèmes chiffrés, le ransomware affiche un message contenant des instructions de paiement. Ces criminels exigent généralement des cryptomonnaies comme le Bitcoin. Ils fournissent des instructions détaillées, notamment sur la manière d’utiliser Tor et les portefeuilles de crypto-monnaie, dans la note de rançon elle-même.
La victime reçoit les liens vers les portails de négociation. Ces portails sont généralement hébergés sur TOR. Certains groupes RaaS automatisent ces conversations à l’aide de chatbots, tandis que d’autres proposent à des opérateurs humains de gérer les négociations de prix.
Ces groupes partagent clairement leurs responsabilités. Les affiliés sont responsables de déployer des ransomwares, de livrer la note de rançon, d’établir la communication initiale et de gérer les négociations. Le développeur principal ou l’équipe de développeurs fournit le backend en hébergeant des portails, en vérifiant les paiements et en distribuant des clés de déchiffrement.
Lorsque ces groupes réussissent à extorquer de l’argent à la victime, ils divisent les fonds selon leur accord. Le montant convenu revient au développeur et le reste sera conservé par l’affilié.
Il existe plusieurs modèles de RaaS, notamment :
Voici quelques-uns des groupes de ransomware les plus populaires qui opèrent selon le modèle RaaS :
Pour se protéger du RaaS, les entreprises devraient choisir une stratégie de défense à plusieurs niveaux, comprenant :
Le Ransomware-as-a-Service a réduit les contraintes d’accès à la cybercriminalité, permettant même aux pirates les moins qualifiés de lancer des campagnes dévastatrices. Avec des opérations bien organisées, des réseaux d’affiliés et des modèles de partage des bénéfices, le RaaS continue d’évoluer rapidement.
Pour contrer cette menace, les organisations doivent adopter une stratégie de défense à plusieurs niveaux qui comprend la formation des utilisateurs, des sauvegardes régulières, l’utilisation d’EDR/XDR, des renseignements sur les menaces et une réponse rapide aux incidents.
Obtenez des informations précieuses pour vous préparer et réagir plus rapidement et plus efficacement aux cyberattaques avec IBM X-Force Threat Intelligence Index.
Découvrez comment l’environnement de la sécurité actuel évolue, comment faire face aux défis de l’IA générative et comment tirer pleinement parti de sa résilience.
Obtenez des informations clés et des stratégies pratiques pour sécuriser votre cloud grâce aux derniers renseignements sur les menaces.
Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.
Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.
Optimisez les processus de prise de décision, améliorez l’efficacité du SOC et accélérez la réponse aux incidents grâce à une solution d’automatisation intelligente et d’orchestration.
Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.