Le RaaS fonctionne de la même manière que les modèles de gestion de logiciel en tant que service (SaaS) légitimes. Les développeurs de ransomwares, également appelés opérateurs RaaS, se chargent du développement et de la maintenance des outils et de l’infrastructure des ransomwares. Ils regroupent leurs outils et services dans des kits RaaS qu’ils vendent à d’autres pirates informatiques, appelés affiliés RaaS. 

La plupart des opérateurs utilisent l’un des modèles de revenus suivants pour vendre leurs kits :

• Abonnement mensuel : les affiliés RaaS paient des frais récurrents, parfois à partir de 40 USD par mois, pour avoir accès aux outils des ransomwares.
  
  
• Frais uniques : les affiliés paient des frais uniques pour acheter directement le code du ransomware.
  
  
• Modèles d’affiliation : les affiliés paient des frais mensuels et partagent un faible pourcentage des éventuels paiements de rançon qu’ils reçoivent avec les opérateurs.
  
  
• Partage des bénéfices : les opérateurs ne facturent rien à l’avance, mais prennent une part importante de chaque rançon reçue par l’affilié, souvent de 30 à 40 %. 

Les kits RaaS sont publiés sur des forums du dark web, et certains opérateurs de ransomwares recrutent activement de nouveaux affiliés. Le groupe REvil, par exemple, a dépensé 1 million USD dans le cadre d’une grande campagne de recrutement en octobre 2020 (lien externe à ibm.com).

Une fois qu’ils ont acheté un kit, les affiliés obtiennent plus que des logiciels malveillants et des clés de déchiffrement : ils reçoivent souvent un niveau de service et de support comparable à celui des fournisseurs SaaS légitimes. Certains des opérateurs RaaS les plus avancés peuvent proposer des services tels que l’assistance technique continue, l’accès à des forums privés où les pirates informatiques peuvent échanger des conseils et des informations, des portails de traitement des paiements (étant donné que la plupart des paiements de rançons sont demandés dans des cryptomonnaies non traçables comme le Bitcoin), et même des outils et une assistance pour la rédaction de demandes de rançon personnalisées ou la négociation des demandes de rançon.

Bien que le potentiel de profit soit un facteur majeur dans la prolifération du RaaS, les programmes d’affiliation offrent également aux pirates informatiques et aux développeurs de ransomwares des avantages supplémentaires, et ils présentent des défis supplémentaires pour les professionnels de la cybersécurité. 

Attribution vague des incidents de ransomware. Dans le cadre du modèle RaaS, les personnes qui mènent les cyberattaques peuvent ne pas être les mêmes que celles qui ont développé le logiciel malveillant utilisé. De plus, il est possible que différents groupes de pirates informatiques utilisent les mêmes ransomwares. Les professionnels de la cybersécurité peuvent ne pas être en mesure d’attribuer définitivement les attaques à des groupes spécifiques, ce qui rend plus difficile le profilage et l’identification des opérateurs et affiliés RaaS. 

Spécialisation des cybercriminels. Tout comme l’économie légitime, l’économie de la cybercriminalité a entrainé une division de la main-d’œuvre. Les acteurs de la menace peuvent désormais se spécialiser et affiner leur corps de métier. Les développeurs peuvent se concentrer sur la création de logiciels malveillants de plus en plus puissants, et les affiliés sur la mise au point de méthodes d’attaque plus efficaces. Une troisième catégorie de cybercriminels, les « courtiers d’accès », se spécialise dans l’infiltration de réseaux et la vente de points d’accès à des agresseurs. La spécialisation permet aux pirates informatiques d’agir plus rapidement et de mener davantage d’attaques. Selon le X-Force Threat Intelligence Index (Indice du renseignement sur les menaces), le délai moyen d’exécution d’une attaque par ransomware a chuté de plus de 60 jours en 2019 à 3,85 jours en 2022. 

Des menaces de ransomware plus résilientes. Le RaaS permet aux opérateurs et aux affiliés de partager le risque, ce qui rend chacun plus résilient. L’arrestation d’affiliés n’arrête pas les opérateurs, et les affiliés peuvent passer à un autre kit de ransomware si un opérateur se fait prendre. Les pirates informatiques sont également connus pour réorganiser et rebaptiser leurs activités afin d’échapper aux autorités. Par exemple, après que l’Office of Foreign Assets Control (OFAC) des États-Unis a sanctionné le gang du ransomware Evil Corp, les victimes ont cessé de payer les rançons pour éviter les pénalités de l’OFAC. En réponse, Evil Corp a changé le nom de son ransomware plusieurs fois (lien externe à ibm.com) pour continuer à recevoir les paiements. 

Il peut être difficile de déterminer quels gangs sont responsables de quels ransomwares ou quels opérateurs sont officiellement actifs à un moment donné. Cela dit, les professionnels de la cybersécurité ont identifié plusieurs opérateurs RaaS majeurs au fil des ans, notamment :

• Tox : identifié pour la première fois en 2015, Tox est considéré par beaucoup comme le premier RaaS.

• LockBit : LockBit est l’une des variantes RaaS les plus omniprésentes aujourd’hui, représentant 17 % des incidents de ransomware observés en 2022, plus que toute autre souche. LockBit se propage souvent par le biais d’e-mails de hameçonnage. Notamment, le gang derrière LockBit a essayé de recruter des affiliés qui travaillent pour leurs victimes cibles, ce qui facilite l’infiltration. 

• DarkSide : la variante de ransomware de DarkSide a été utilisée lors de l’attaque de 2021 sur le Colonial Pipeline américain, considérée comme la pire cyberattaque contre une infrastructure essentielle des États-Unis à ce jour. DarkSide a pris fin en 2021, mais ses développeurs ont publié un kit RaaS successeur, appelé BlackMatter.

• REvil/Sodinokibi : REvil, également connu sous le nom de Sodin ou Sodinokibi, a produit le ransomware derrière les attaques de 2021 contre JBS USA et Kaseya Limited. À son apogée, REvil était l’une des variantes de ransomware les plus répandues, représentant 37 % des attaques par ransomware en 2021. Le service fédéral de sécurité de la fédération de Russie a mis fin à REvil et inculpé plusieurs membres clés au début de l’année 2022, mais l’infrastructure RaaS du gang a refait surface en avril 2022 (lien externe à ibm.com).

• Ryuk : avant son arrêt en 2021, Ryuk était l’une des plus grandes opérations RaaS. Les développeurs derrière Ryuk ont ensuite publié Conti, une autre variante RaaS majeure, qui a été utilisée dans une attaque contre le gouvernement du Costa Rica en 2022 (lien externe à ibm.com).

• Hive : Hive s’est fait connaître en 2022 après une attaque contre Microsoft Exchange Server. Les affiliés de Hive constituaient une menace importante pour les sociétés financières et les établissements de santé jusqu’à ce que le FBI arrête l’opérateur en 2023 (lien externe à ibm.com). 

Bien que le RaaS ait modifié le contexte des menaces, de nombreuses pratiques standard en matière de protection contre les ransomwares peuvent encore être efficaces pour lutter contre les attaques RaaS. De nombreux affiliés RaaS sont moins compétents techniquement que les auteurs d’attaques par ransomware d’hier. Placer suffisamment d’obstacles entre les pirates informatiques et les actifs réseau peut dissuader complètement certaines attaques RaaS. D’autres tactiques de cybersécurité peuvent inclure : 

• La réalisation de sauvegardes de données sensibles et d’images système, idéalement sur des disques durs ou d’autres appareils pouvant être déconnectés du réseau.
  
  
• La réduction du périmètre de vulnérabilité du réseau en appliquant des correctifs régulièrement pour corriger les vulnérabilités couramment exploitées. Les outils de sécurité tels que les logiciels antivirus, l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR), la détection et la réponse des terminaux (EDR), la gestion des informations et des événements de sécurité (SIEM) et la détection et la réponse étendues (XDR) peuvent également aider les équipes de sécurité à intercepter les ransomwares plus rapidement.
  
  
• La formation en cybersécurité peut aider les employés à reconnaître et à éviter les vecteurs de ransomwares courants tels que le hameçonnage, l’ingénierie sociale et les liens malveillants.
  
  
• L’implémentation de contrôles d’accès, tels que l’authentification multifacteurs, l’architecture Zero Trust et la segmentation du réseau peuvent empêcher les ransomwares d’accéder à des données particulièrement sensibles.
  
  
• Des plans de réponse aux incidents complets peuvent aider les équipes de sécurité à faire face à la plupart des cybermenaces, mais peuvent s’avérer particulièrement utiles pour les attaques RaaS. Comme l’attribution des attaques peut être vague, les équipes de réponse aux incidents ne peuvent pas compter sur le fait que les attaques par ransomware utilisent toujours les mêmes tactiques, techniques et procédures (TTP). En outre, lorsque les répondants aux incidents expulsent les affiliés RaaS, les courtiers d’accès peuvent encore être actifs sur leurs réseaux. La traque des menaces proactive et les examens approfondis des incidents peuvent aider les équipes de sécurité à éradiquer ces menaces évasives.