Qu’est-ce que le ransomware en tant que service (RaaS) ?

Les accords de ransomware en tant que service sont populaires auprès des cybercriminels. Les ransomwares restent une cybermenace courante, responsable de 20 % de l’ensemble des incidents de cybercriminalité selon l’IBM X-Force Threat Intelligence Index. La plupart des souches de ransomware les plus notoires et les plus dévastatrices, telles que LockBit et BlackBasta, se sont répandues grâce aux ventes RaaS.

Il est facile de comprendre l’essor du modèle RaaS. En externalisant une partie de leurs efforts à des fournisseurs RaaS, les pirates potentiels peuvent entrer plus rapidement et plus facilement dans la cybercriminalité. Même les acteurs malveillants disposant d’une expertise technique limitée peuvent désormais lancer des cyberattaques.

Le RaaS est mutuellement bénéfique. Les pirates peuvent tirer profit de l’extorsion sans développer leur propre logiciel malveillant. Dans le même temps, les développeurs de ransomwares peuvent accroître leurs profits sans avoir à attaquer les réseaux et peuvent tirer parti de victimes qu’ils n’auraient pas pu localiser autrement.

Le RaaS fonctionne de la même manière que les modèles de gestion de logiciel en tant que service (SaaS) légitimes. Les développeurs de ransomwares, également appelés opérateurs RaaS ou groupes RaaS, se chargent du développement et de la maintenance des outils et de l’infrastructure des ransomwares. Ils regroupent leurs outils et services dans des kits RaaS qu’ils vendent à d’autres pirates informatiques, connus sous le nom d’affiliés RaaS.

La plupart des opérateurs RaaS utilisent l’un de ces modèles de revenus pour vendre leurs kits :

• Abonnement mensuel
• Tarif unique
• Programmes d’affiliation
• Participation aux bénéfices

Les affiliés RaaS paient des frais récurrents, parfois à partir de 40 USD par mois, pour avoir accès aux outils des ransomwares.

Les affiliés paient des frais uniques pour acheter directement le code du ransomware.

Les affiliés paient des frais mensuels et partagent un faible pourcentage des éventuels paiements de rançon qu’ils reçoivent avec les opérateurs.

Les opérateurs ne facturent rien à l’avance, mais prennent une part importante de chaque rançon reçue par l’affilié, souvent de 30 à 40 %.

Les kits RaaS sont publiés sur des forums du Dark web dans l’écosystème souterrain et certains opérateurs de ransomwares recrutent activement de nouveaux affiliés, investissant des millions de dollars américains dans des campagnes de recrutement sur le Dark web.

Une fois qu’ils ont acheté un kit RaaS, les affiliés obtiennent plus que des logiciels malveillants et des clés de déchiffrement. Ils bénéficient souvent d’un niveau de service et d’assistance comparable à celui des fournisseurs SaaS légitimes. Certains des opérateurs RaaS les plus sophistiqués proposent les équipements suivants :

• Assistance technique continue.
• Accès à des forums privés où les pirates peuvent échanger des conseils et des informations.
• Les portails de traitement des paiements, car la plupart des paiements de rançon sont demandés dans des crypto-monnaies intraçables telles que le bitcoin.
• Outils et assistance pour rédiger des demandes de rançon personnalisées ou négocier des demandes de rançon.

Toutes les attaques par ransomware peuvent avoir des conséquences graves. Selon le rapport d’IBM sur le coût d’une violation de données, une attaque par ransomware coûte en moyenne 4,91 millions de dollars à sa victime. Mais les attaques menées par des affiliés du RaaS constituent des défis supplémentaires pour les professionnels de la cybersécurité, notamment :

• Attribution vague des attaques par ransomware
• Spécialisation des cybercriminels
• Des menaces de ransomware plus résilientes
• Nouvelles tactiques de pression

Dans le cadre du modèle RaaS, les personnes qui mènent les cyberattaques peuvent ne pas être les mêmes que celles qui ont développé le logiciel malveillant utilisé. De plus, il est possible que différents groupes de pirates informatiques utilisent les mêmes ransomwares. Les professionnels de la cybersécurité peuvent ne pas être en mesure d’attribuer définitivement les attaques à des groupes spécifiques, ce qui rend plus difficile le profilage et l’identification des opérateurs et affiliés RaaS.

Tout comme l’économie légitime, l’économie de la cybercriminalité a entraîné une division de la main-d’œuvre. Les acteurs de la menace peuvent désormais se spécialiser et affiner leur corps de métier. Les développeurs peuvent se concentrer sur l’écriture de logiciels malveillants de plus en plus puissants et les affiliés sur le développement de méthodes d’attaque plus efficaces.

Une troisième catégorie de cybercriminels, les « courtiers d’accès », se spécialise dans l’infiltration de réseaux et la vente de points d’accès à des agresseurs. La spécialisation permet aux pirates informatiques d’agir plus rapidement et de mener davantage d’attaques. Selon le rapport de renseignements sur les menaces, le délai moyen pour préparer et lancer une attaque par ransomware a chuté de plus de 60 jours en 2019 à 3,84 jours aujourd’hui.

Le RaaS permet aux opérateurs et aux affiliés de partager le risque, ce qui rend chacun plus résilient. L’arrestation d’affiliés n’arrête pas les opérateurs et les affiliés peuvent passer à un autre kit de ransomware si un opérateur se fait prendre. Les pirates informatiques sont également connus pour réorganiser et rebaptiser leurs activités afin d’échapper aux autorités.

Par exemple, après que l’Office of Foreign Assets Control (OFAC) des États-Unis a sanctionné le gang du ransomware Evil Corp, les victimes ont cessé de payer les rançons pour éviter les pénalités de l’OFAC. En réponse, Evil Corp a changé le nom de son ransomware pour continuer à recevoir les paiements.

Les cybercriminels qui utilisent les attaques RaaS ont découvert qu’ils peuvent souvent exiger des rançons plus élevées et plus rapides s’ils ne chiffrent pas les données de la victime. L’étape supplémentaire de restauration des systèmes peut ralentir les paiements. En outre, de plus en plus d’organisations ont amélioré leurs stratégies de sauvegarde et de récupération de stockage, ce qui rend le chiffrement moins dangereux pour elles.

Au lieu de cela, les cybercriminels s’attaquent aux organisations qui disposent d’un vaste stock des données personnelles (PII), comme les professionnels de santé, et menacent de divulguer ces informations sensibles. Les victimes paient souvent une rançon plutôt que de subir l’embarras et les éventuelles répercussions juridiques d’une fuite.

Il peut être difficile de déterminer quels gangs sont responsables de quels ransomwares ou qui sont les opérateurs ayant lancé une attaque. Cela dit, les professionnels de la cybersécurité ont identifié plusieurs opérateurs RaaS majeurs au fil des ans, notamment :

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

Identifié pour la première fois en 2015, Tox est considéré par beaucoup comme le premier RaaS.

LockBit est l’une des variantes RaaS les plus omniprésentes, selon le X-Force Threat Intelligence Index. LockBit se propage souvent par le biais d’e-mails de hameçonnage. Notamment, le gang derrière LockBit a essayé de recruter des affiliés qui travaillent pour leurs victimes cibles, ce qui facilite l’infiltration.

La variante de ransomware de DarkSide a été utilisée lors de l’attaque de 2021 sur le Colonial Pipeline américain, considérée comme la pire cyberattaque contre une infrastructure essentielle des États-Unis à ce jour. DarkSide a pris fin en 2021, mais ses développeurs ont publié un kit RaaS successeur, appelé BlackMatter.

REvil, également connu sous le nom de Sodin ou Sodinokibi, a produit le ransomware derrière les attaques de 2021 contre JBS USA et Kaseya Limited. À son apogée, REvil était l’une des variantes de ransomware les plus répandues. Début 2022, le Service fédéral de sécurité russe a fermé REvil et inculpé plusieurs membres clés.

Avant son arrêt en 2021, Ryuk était l’une des plus grandes opérations RaaS. Les développeurs derrière Ryuk ont ensuite publié Conti, une autre variante RaaS majeure, qui a été utilisée dans une attaque contre le gouvernement du Costa Rica en 2022.

Hive s’est fait connaître en 2022 après une attaque contre Microsoft Exchange Server. Les filiales de Hive constituaient une menace importante pour les entreprises financières et les organismes de santé jusqu’à ce que le FBI arrête l’opérateur.

Arrivé comme une menace en 2022, Black Basta a rapidement fait plus de 100 victimes en Amérique du Nord, en Europe et en Asie. À l’aide d’attaques ciblées, les pirates exigeaient une double extorsion : à la fois pour décrypter les données de la victime et aussi avec la menace de divulguer des informations sensibles au public.

En 2023, le groupe de ransomwares CL0P a exploité une vulnérabilité dans l’application de transfert de fichiers MOVEit pour exposer des informations sur des millions de personnes.

Le RaaS d’Eldorado a été annoncé début 2024 dans une publicité sur un forum de ransomware. En l’espace de trois mois, 16 victimes avaient déjà été attaquées aux États-Unis et en Europe.¹

Bien que le RaaS ait modifié le contexte des menaces, de nombreuses pratiques standard en matière de protection contre les ransomwares peuvent encore être efficaces pour lutter contre les attaques RaaS.

De nombreuses filiales du RaaS sont moins douées sur le plan technique que les précédents pirates par ransomware. Placer suffisamment d’obstacles entre les pirates informatiques et les actifs réseau peut dissuader complètement certaines attaques RaaS. Quelques tactiques de cybersécurité qui pourraient être utiles :

• Plans de réponse aux incidents complets
• Outils de détection basés sur les anomalies
• Réduction de la surface d’attaque réseau
• Formation à la cybersécurité
• Mise en place de contrôles d’accès
• Gestion des sauvegardes
• Collaboration avec les forces de l’ordre

La planification de la réponse aux incidents peut être particulièrement utile pour les attaques RaaS. Comme l’attribution des attaques peut être difficile à déterminer, les équipes de réponse aux incidents ne peuvent pas compter sur le fait que les attaques par ransomware utilisent toujours les mêmes tactiques, techniques et procédures (TTP).

En outre, lorsque les répondants aux incidents expulsent les affiliés RaaS, les courtiers d’accès peuvent encore être actifs sur leurs réseaux. La traque des menaces proactive et les examens approfondis des incidents peuvent aider les équipes de sécurité à éradiquer ces menaces évasives.

Pour identifier les attaques par ransomware en cours, les organisations peuvent utiliser des outils de détection basés sur les anomalies, tels que des solutions de détection et de réponse des terminaux (EDR) et de détection et de réponse du réseau (NDR). Ces outils utilisent des fonctions d’automatisation intelligente, d’ intelligence artificielle (IA) et de machine learning (ML) pour détecter les menaces nouvelles et avancées en temps quasi réel et assurer une meilleure protection des points de terminaison.

Une attaque par ransomware peut être détectée à un stade précoce grâce à un processus inhabituel de suppression ou de chiffrement de la sauvegarde qui démarre soudainement sans avertissement. Avant même une attaque, les événements anormaux peuvent être les « signes avant-coureurs » d’un piratage imminent que l’équipe de sécurité peut empêcher.

Les organisations peuvent contribuer à réduire leurs surfaces d’attaque réseau en procédant à des évaluations fréquentes des vulnérabilités et en appliquant des correctifs régulièrement pour corriger les vulnérabilités couramment exploitées.

Les outils de sécurité tels que les logiciels antivirus, l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR), la gestion des informations et des événements de sécurité (SIEM) et la détection et la réponse étendues (XDR) peuvent également aider les équipes de sécurité à intercepter les ransomwares plus rapidement.

Montrez aux employés comment reconnaître et éviter les vecteurs de ransomwares courants, notamment le phishing, l’ingénierie sociale et les liens malveillants.

L’authentification multi-facteur, l’architecture Zero Trust et la segmentation du réseau peuvent aider à empêcher les ransomwares d’atteindre les données sensibles.

Les organisations peuvent sauvegarder régulièrement les données sensibles et les images du système, idéalement sur des disques durs ou d’autres appareils déconnectés du réseau.

Les organisations peuvent parfois économiser le coût et le temps de confinement avec l’aide des forces de l’ordre.

Selon le rapport IBM sur le coût d’une violation de données, les victimes de ransomware qui ont fait appel aux forces de l’ordre ont réduit le coût de leur violation de près d’un million de dollars en moyenne, sans compter le coût de la rançon versée. L’intervention des forces de l’ordre a également permis de réduire le temps nécessaire pour identifier et contenir les violations de 297 à 281 jours.