Accueil

Thèmes

Ransomware en tant que service

Qu’est-ce que le ransomware en tant que service (RaaS) ?
Découvrir la solution RaaS d’IBM S’inscrire à la newsletter Think
Composition de pictogrammes (nuage, empreintes digitales et téléphone mobile)

Date de mise à jour : 5 septembre 2024
Contributeurs : Jim Holdsworth, Matthew Kosinski

Qu’est-ce que le ransomware en tant que service (RaaS) ?

Le ransomware en tant que service (RaaS) est un modèle de gestion de la cybercriminalité dans lequel les développeurs de ransomwares vendent le code d’un ransomware ou un logiciel malveillant à d’autres pirates informatiques, appelés « affiliés », qui utilisent ensuite le code pour lancer leurs propres attaques par ransomware.

Les accords de ransomware en tant que service sont populaires auprès des cybercriminels. Les ransomwares restent une cybermenace courante, responsable de 20 % de l’ensemble des incidents de cybercriminalité selon l’IBM X-Force Threat Intelligence Index. La plupart des souches de ransomware les plus notoires et les plus dévastatrices, telles que LockBit et BlackBasta, se sont répandues grâce aux ventes RaaS.

Il est facile de comprendre l’essor du modèle RaaS. En externalisant une partie de leurs efforts à des fournisseurs RaaS, les pirates potentiels peuvent entrer plus rapidement et plus facilement dans la cybercriminalité. Même les acteurs malveillants disposant d’une expertise technique limitée peuvent désormais lancer des cyberattaques.

Le RaaS est mutuellement bénéfique. Les pirates peuvent tirer profit de l’extorsion sans développer leur propre logiciel malveillant. Dans le même temps, les développeurs de ransomwares peuvent accroître leurs profits sans avoir à attaquer les réseaux et peuvent tirer parti de victimes qu’ils n’auraient pas pu localiser autrement.

Planifiez votre briefing de découverte individuel X-Force

L’équipe X-Force composée de pirates, d’intervenants, de chercheurs et d’analystes des renseignements peut vous aider à vous préparer et à vous remettre des cyberincidents.

Contenu connexe Guide de référence sur les ransomwares Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
Comment fonctionne le ransomware en tant que service ?

Le RaaS fonctionne de la même manière que les modèles de gestion de logiciel en tant que service (SaaS) légitimes. Les développeurs de ransomwares, également appelés opérateurs RaaS ou groupes RaaS, se chargent du développement et de la maintenance des outils et de l’infrastructure des ransomwares. Ils regroupent leurs outils et services dans des kits RaaS qu’ils vendent à d’autres pirates informatiques, connus sous le nom d’affiliés RaaS.

La plupart des opérateurs RaaS utilisent l’un de ces modèles de revenus pour vendre leurs kits :

  • Abonnement mensuel
  • Tarif unique
  • Programmes d’affiliation
  • Participation aux bénéfices

Abonnement mensuel


Les affiliés RaaS paient des frais récurrents, parfois à partir de 40 USD par mois, pour avoir accès aux outils des ransomwares.

Tarif unique


Les affiliés paient des frais uniques pour acheter directement le code du ransomware.

Programmes d’affiliation


Les affiliés paient des frais mensuels et partagent un faible pourcentage des éventuels paiements de rançon qu’ils reçoivent avec les opérateurs.

Participation aux bénéfices


Les opérateurs ne facturent rien à l’avance, mais prennent une part importante de chaque rançon reçue par l’affilié, souvent de 30 à 40 %.

 Les kits RaaS sont publiés sur des forums du dark web dans l’écosystème souterrain et certains opérateurs de ransomwares recrutent activement de nouveaux affiliés, investissant des millions de dollars américains dans des campagnes de recrutement sur le dark web.

Une fois qu’ils ont acheté un kit RaaS, les affiliés obtiennent plus que des logiciels malveillants et des clés de déchiffrement. Ils bénéficient souvent d’un niveau de service et d’assistance comparable à celui des fournisseurs SaaS légitimes. Certains des opérateurs RaaS les plus sophistiqués proposent les équipements suivants :

  • Assistance technique continue.
  • Accès à des forums privés où les pirates peuvent échanger des conseils et des informations.
  • Les portails de traitement des paiements, car la plupart des paiements de rançon sont demandés dans des crypto-monnaies intraçables telles que le bitcoin.
  • Outils et assistance pour rédiger des demandes de rançon personnalisées ou négocier des demandes de rançon.
Les défis des attaques RaaS en matière de cybersécurité

Toutes les attaques par ransomware peuvent avoir des conséquences graves. Selon le rapport d’IBM sur le coût d’une violation de données, une attaque par ransomware coûte en moyenne 4,91 millions de dollars à sa victime. Mais les attaques menées par des affiliés du RaaS constituent des défis supplémentaires pour les professionnels de la cybersécurité, notamment :

  • Attribution vague des attaques par ransomware
  • Spécialisation des cybercriminels
  • Des menaces de ransomware plus résilientes
  • Nouvelles tactiques de pression

Attribution vague des attaques par ransomware


Dans le cadre du modèle RaaS, les personnes qui mènent les cyberattaques peuvent ne pas être les mêmes que celles qui ont développé le logiciel malveillant utilisé. De plus, il est possible que différents groupes de pirates informatiques utilisent les mêmes ransomwares. Les professionnels de la cybersécurité peuvent ne pas être en mesure d’attribuer définitivement les attaques à des groupes spécifiques, ce qui rend plus difficile le profilage et l’identification des opérateurs et affiliés RaaS. 

Spécialisation des cybercriminels


Tout comme l’économie légitime, l’économie de la cybercriminalité a entraîné une division de la main-d’œuvre. Les acteurs de la menace peuvent désormais se spécialiser et affiner leur corps de métier. Les développeurs peuvent se concentrer sur l’écriture de logiciels malveillants de plus en plus puissants et les affiliés sur le développement de méthodes d’attaque plus efficaces.

Une troisième catégorie de cybercriminels, les « courtiers d’accès », se spécialise dans l’infiltration de réseaux et la vente de points d’accès à des agresseurs. La spécialisation permet aux pirates informatiques d’agir plus rapidement et de mener davantage d’attaques. Selon le rapport de renseignements sur les menaces, le délai moyen pour préparer et lancer une attaque par ransomware a chuté de plus de 60 jours en 2019 à 3,84 jours aujourd’hui.

Des menaces de ransomware plus résilientes


Le RaaS permet aux opérateurs et aux affiliés de partager le risque, ce qui rend chacun plus résilient. L’arrestation d’affiliés n’arrête pas les opérateurs et les affiliés peuvent passer à un autre kit de ransomware si un opérateur se fait prendre. Les pirates informatiques sont également connus pour réorganiser et rebaptiser leurs activités afin d’échapper aux autorités.

Par exemple, après que l’Office of Foreign Assets Control (OFAC) des États-Unis a sanctionné le gang du ransomware Evil Corp, les victimes ont cessé de payer les rançons pour éviter les pénalités de l’OFAC. En réponse, Evil Corp a changé le nom (lien externe à ibm.com) de son ransomware pour continuer à recevoir des paiements.

Nouvelles tactiques de pression


Les cybercriminels qui utilisent les attaques RaaS ont découvert qu’ils peuvent souvent exiger des rançons plus élevées et plus rapides s’ils ne chiffrent pas les données de la victime. L’étape supplémentaire de restauration des systèmes peut ralentir les paiements. En outre, de plus en plus d’organisations ont amélioré leurs stratégies de sauvegarde et de récupération de stockage, ce qui rend le chiffrement moins dangereux pour elles.

Au lieu de cela, les cybercriminels s’attaquent aux organisations qui disposent d’un vaste stock des données personnelles (PII), comme les professionnels de santé, et menacent de divulguer ces informations sensibles. Les victimes paient souvent une rançon plutôt que de subir l’embarras et les éventuelles répercussions juridiques d’une fuite.

Variantes de ransomware en tant que service les plus connues

Il peut être difficile de déterminer quels gangs sont responsables de quels ransomwares ou qui sont les opérateurs ayant lancé une attaque. Cela dit, les professionnels de la cybersécurité ont identifié plusieurs opérateurs RaaS majeurs au fil des ans, notamment :

  • Tox
  • LockBit
  • DarkSide
  • REvil/Sodinokibi
  • Ryuk
  • Hive
  • Black Basta
  • CL0P
  • Eldorado

Tox

 

Identifié pour la première fois en 2015, Tox est considéré par beaucoup comme le premier RaaS.

LockBit

 

LockBit est l’une des variantes RaaS les plus omniprésentes, selon le X-Force Threat Intelligence Index. LockBit se propage souvent par le biais d’e-mails de hameçonnage. Notamment, le gang derrière LockBit a essayé de recruter des affiliés qui travaillent pour leurs victimes cibles, ce qui facilite l’infiltration.

DarkSide

 

La variante de ransomware de DarkSide a été utilisée lors de l’attaque de 2021 sur le Colonial Pipeline américain, considérée comme la pire cyberattaque contre une infrastructure essentielle des États-Unis à ce jour. DarkSide a pris fin en 2021, mais ses développeurs ont publié un kit RaaS successeur, appelé BlackMatter.

REvil/Sodinokibi

 

REvil, également connu sous le nom de Sodin ou Sodinokibi, a produit le ransomware derrière les attaques de 2021 contre JBS USA et Kaseya Limited. À son apogée, REvil était l’une des variantes de ransomware les plus répandues. Début 2022, le Service fédéral de sécurité russe a fermé REvil et inculpé plusieurs membres clés.

Ryuk

 

Avant son arrêt en 2021, Ryuk était l’une des plus grandes opérations RaaS. Les développeurs derrière Ryuk ont ensuite publié Conti, une autre variante RaaS majeure, qui a été utilisée dans une attaque contre le gouvernement du Costa Rica en 2022.

Hive

 

Hive s’est fait connaître en 2022 après une attaque contre Microsoft Exchange Server. Les filiales de Hive constituaient une menace importante pour les entreprises financières et les organismes de santé jusqu’à ce que le FBI arrête l’opérateur.

Black Basta

 

Arrivé comme une menace en 2022, Black Basta a rapidement fait plus de 100 victimes en Amérique du Nord, en Europe et en Asie. À l’aide d’attaques ciblées, les pirates exigeaient une double extorsion : à la fois pour décrypter les données de la victime et aussi avec la menace de divulguer des informations sensibles au public.

CL0P

 

En 2023, le groupe de ransomwares CL0P a exploité une vulnérabilité dans l’application de transfert de fichiers MOVEit pour exposer des informations sur des millions de personnes.

Eldorado

 

Le RaaS d’Eldorado a été annoncé début 2024 dans une publicité sur un forum de ransomware. En l’espace de trois mois, 16 victimes avaient déjà été attaquées aux États-Unis et en Europe.1

Protection contre les ransomwares en tant que service

Bien que le RaaS ait modifié le contexte des menaces, de nombreuses pratiques standard en matière de protection contre les ransomwares peuvent encore être efficaces pour lutter contre les attaques RaaS.

De nombreuses filiales du RaaS sont moins douées sur le plan technique que les précédents pirates par ransomware. Placer suffisamment d’obstacles entre les pirates informatiques et les actifs réseau peut dissuader complètement certaines attaques RaaS. Quelques tactiques de cybersécurité qui pourraient être utiles : 

  • Plans de réponse aux incidents complets
  • Outils de détection basés sur les anomalies
  • Réduction de la surface d’attaque réseau
  • Formation à la cybersécurité
  • Mise en place de contrôles d’accès
  • Gestion des sauvegardes
  • Collaboration avec les forces de l’ordre

Plans de réponse aux incidents complets

 

La planification de la réponse aux incidents peut être particulièrement utile pour les attaques RaaS. Comme l’attribution des attaques peut être difficile à déterminer, les équipes de réponse aux incidents ne peuvent pas compter sur le fait que les attaques par ransomware utilisent toujours les mêmes tactiques, techniques et procédures (TTP).

En outre, lorsque les répondants aux incidents expulsent les affiliés RaaS, les courtiers d’accès peuvent encore être actifs sur leurs réseaux. La traque des menaces proactive et les examens approfondis des incidents peuvent aider les équipes de sécurité à éradiquer ces menaces évasives. 

Outils de détection basés sur les anomalies

 

Pour identifier les attaques par ransomware en cours, les organisations peuvent utiliser des outils de détection basés sur les anomalies, tels que des solutions de détection et de réponse des terminaux (EDR) et de détection et réponse du réseau (NDR). Ces outils utilisent des fonctions d’automatisation intelligente, d’intelligence artificielle (IA) et de machine learning (ML) pour détecter les menaces nouvelles et avancées en temps quasi réel et offrir une meilleure protection des points de terminaison.

Une attaque par ransomware peut être détectée à un stade précoce grâce à un processus inhabituel de suppression ou de chiffrement de la sauvegarde qui démarre soudainement sans avertissement. Avant même une attaque, les événements anormaux peuvent être les « signes avant-coureurs » d’un piratage imminent que l’équipe de sécurité peut empêcher.

Réduction de la surface d’attaque réseau

 

Les organisations peuvent contribuer à réduire leurs surfaces d’attaque réseau en procédant à des évaluations fréquentes des vulnérabilités et en appliquant des correctifs régulièrement pour corriger les vulnérabilités couramment exploitées.

Les outils de sécurité tels que les logiciels antivirus, l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR), la gestion des informations et des événements de sécurité (SIEM) et la détection et la réponse étendues (XDR) peuvent également aider les équipes de sécurité à intercepter les ransomwares plus rapidement.

Formation à la cybersécurité

 

Montrez aux employés comment reconnaître et éviter les vecteurs de ransomwares courants, notamment le phishing, l’ingénierie sociale et les liens malveillants.

Mise en place de contrôles d’accès

 

L’authentification à étapesl’architecture Zero Trust et la segmentation du réseau peuvent aider à empêcher les ransomwares d’atteindre les données sensibles.

Gestion des sauvegardes

 

Les organisations peuvent sauvegarder régulièrement les données sensibles et les images du système, idéalement sur des disques durs ou d’autres appareils déconnectés du réseau.

Collaboration avec les forces de l’ordre

 

Les organisations peuvent parfois économiser le coût et le temps de confinement avec l’aide des forces de l’ordre.

Selon le rapport IBM sur le coût d’une violation de données, les victimes de ransomware qui ont fait appel aux forces de l’ordre ont réduit le coût de leur violation de près d’un million de dollars en moyenne, sans compter le coût de la rançon versée. L’intervention des forces de l’ordre a également permis de réduire le temps nécessaire pour identifier et contenir les violations de 297 à 281 jours.

Solutions connexes
Solutions de protection contre les ransomwares

Gérez de manière proactive vos risques liés à la cybersécurité en temps quasi réel afin de détecter, de réagir et de minimiser l’impact des attaques par ransomware. 

Découvrir les solutions de protection contre les ransomwares

IBM Storage FlashSystem

FlashSystem utilise des modèles de machine learning pour détecter les anomalies telles que les ransomwares en moins d’une minute, garantissant ainsi la protection de votre entreprise avant une cyberattaque.

Découvrir IBM Storage FlashSystem

IBM Storage Defender

IBM Storage Defender détecte rapidement les menaces et vous aide à récupérer rapidement et en toute sécurité en cas d’attaque.

Découvrir IBM Storage Defender
Ressources X-Force Threat Intelligence Index

Prenez le contrôle en vous appuyant sur les défis et les réussites rencontrés par les équipes de sécurité du monde entier.

Coût d’une violation de données

Préparez-vous au mieux pour faire face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations.

Atelier IBM Security Framing and Discovery

Travaillez avec des architectes et des consultants expérimentés en sécurité IBM afin de définir des priorités parmi vos initiatives de cybersécurité dans le cadre d’une session de design thinking gratuite de 3 heures, virtuelle ou en personne.

Passer à l’étape suivante

Les services de cybersécurité d’IBM fournissent des services de conseil, d’intégration et de sécurité gérés ainsi que des capacités offensives et défensives. Nous associons une équipe mondiale d’experts à des technologies propriétaires et partenaires pour créer conjointement des programmes de sécurité personnalisés qui gèrent les risques.

Découvrir les services de cybersécurité Abonnez-vous à la Think Newsletter
Notes de bas de page