Le Ransomware-as-a-Service (RaaS) est une menace de cybersécurité assez récente. Avec une structure similaire au software-as-a-service (SaaS), ce modèle d’activité illégale et de plus en plus populaire loue ou vend des variants de ransomwares à tous ceux qui veulent en payer le prix. Le RaaS réside traditionnellement dans des forums clandestins du dark web, mais il est de plus en plus fréquent chez les fournisseurs de RaaS d’utiliser des applis de ‘chat’ telles que Telegram pour communiquer et diffuser les malwares.
Les développeurs de ransomware ont appris qu’il est moins risqué et moins fatigant de créer un logiciel malveillant et de le vendre ou de le louer à des hackers moins compétents que de réaliser eux-mêmes les attaques. A des cyber criminels dépourvus de connaissances avancées en codage, le RaaS fournit tous les outils dont ils ont besoin pour exécuter les malwares. Certains fournisseurs de RaaS proposent des solutions si faciles à utiliser que quasiment n’importe qui peut les utiliser pour réaliser une attaque réussie. En fait, des intermédiaires initiaux prélèvent une redevance pour supprimer toutes les exigences techniques du processus et faciliter l’accès au réseau lors de la première phase d’une attaque par ransomware. En clair, toute personne prête à payer pour du RaaS peut lancer une attaque.
Selon l’IBM Security Data Breach Report 2022, la première attaque connue ayant utilisé du RaaS s’est produite en 2016, et dans les six années qui ont suivi, le RaaS s’est développé jusqu’à représenter 11 % de toutes les attaques de cybersécurité.1 D’après cette étude, il faut 287 jours pour identifier une menace de ransomware et 87 jours pour réparer les dommages causés, ce qui coûte environ 4,62 $ aux entreprises pour chaque attaque.
Illégales dans la plupart des pays, des opérations RaaS ont été constatées en Russie, en Chine, en Corée du Nord, en Iran, à Cuba, ainsi que des pays où l’état de droit n’est pas appliqué.
Vous avez probablement entendu parler de ces célèbres attaques par RaaS :
Dharma
LockBit
DarkSide
REvil
Cette liste continuera de s’allonger tant que d’autres acteurs malveillants emploieront ce modèle commercial très lucratif.
Les opérateurs de RaaS proposent typiquement des arrangements à des affiliés contre des paiements mensuels ou un partage des gains, et ils peuvent même vendre totalement le ransomware. Le coût pour s’abonner va de 50 $ par mois à plusieurs milliers de dollars par mois, selon la sophistication de l’offre proposée. Les opérateurs de RaaS s’adressent à des hackers non expérimentés ; ils remettent un code d’exploitation et des boîtes à outils personnalisées à des affiliés n’ayant pas de compétences techniques pour qu’ils les utilisent afin de déployer des attaques malveillantes avec des malwares.
Les affiliés potentiels consultent le site web de l’entreprise de RaaS sur le dark web, créent un compte et payent les frais demandés. Puis, ils partagent les détails de ce qu’ils veulent faire, notamment :
Le type d’exploit qu’ils veulent envoyer
Le type de chiffrement nécessaire
Le système d’exploitation ciblé
La victime
Quelle sera l’exigence de la rançon
Le texte accompagnant le ransomware
En retour, le développeur de RaaS :
Vérifie la demande
Crée un code d’exploitation en fonction des précisions apportées par l’affilié
Fournit à l’affilié la boîte à outils pour utiliser facilement le ransomware
Une boîte à outils typique de RaaS contient le code d’exploitation du ransomware et une variété d’autres outils ou services utiles pour l’affiliés, notamment :
Assistance client 24h/24 et 7j/7
Mises à jour logicielle
Forums des utilisateurs
Commentaires des utilisateurs
Vidéos explicatives
Instructions pas à pas
Une base de connaissances
Assistance expert en direct
Un tableau de bord pour surveiller les attaques
Il est parfois difficile de se souvenir que le RaaS est 100 % illégal, car le modèle commercial semble familier. Les représentants de RaaS visitent des forums et des tchats du dark web pour promouvoir leurs services et recruter des clients potentiels, leurs services marketing font des campagnes de marketing et font la publicité de bouquets et d’offres spéciales. Bien qu’ils puissent agir de manière semblable à des organisations légitimes, il est important de se souvenir que leurs services sont illégaux et que, de l’autre côté, il y a des victimes.
QUI SONT LES VICTIMES ?
Les cybercriminels du RaaS choisissent souvent des victimes dans le domaine de la santé, dans les systèmes éducatifs, les institutions financières et tous les niveaux du gouvernement car ce sont les cibles les plus lucratives en raison de la nature protégée des données qu’ils stockent.
Les arnaques par RaaS s’étendent généralement aux victimes par le biais de l’ingénierie sociale et du phishing. Elles peuvent cibler des particuliers, des entreprises entières ou seulement certaines parties d’une organisation (en infectant latéralement au fur et à mesure à travers l’organisation).
Une arnaque commence typiquement lorsque l’affilié envoie à des victimes potentielles un email avec une pièce jointe infectée ou un lien vers un site web infecté, comme n’importe quel autre type de malware. Si la victime tombe dans l’arnaque, le code malveillant vole et chiffre les fichiers, verrouille l’appareil pour qu’il soit inutilisable, et paramètre un scénario de ransomware où la victime doit envoyer de l’argent pour accéder à ses fichiers.
Après avoir reçu un message inquiétant comme le message ci-dessus, une boîte de tchat peut s’afficher pour permettre à la victime de communiquer avec l’attaquant. Dans la boîte de chat, l’attaquant dit à la victime exactement ce qu’elle doit faire pour retrouver le contrôle de son ordinateur et récupérer ses fichiers. Cette boîte de tchat fait partie de l’assistance client de l’affilié, qui lui donne une apparence normale.
Si la victime décide de payer la rançon que l’affilié a demandée, la victime de connecte sur un portail de paiement qui appartient à l’opérateur du RaaS (pas à l’affilié). Sur le portail de paiement, la victime paye la rançon à l’opérateur, généralement en bitcoins. Une fois que la victime a payé, l’opérateur du RaaS divise les bénéfices et donne à l’affilié le pourcentage dont ils ont convenu (l’affilié ne touche jamais l’argent de la victime).
Si la victime ne paye pas, en fonction du but de l’attaque, le hacker peut fournir les informations sur la victime à un site web de fuites de données qui les vend, ou les rendre disponibles gratuitement sur le dark web.
Si la victime paye, l’affilié lui donne généralement une clé de déchiffrement avec des instructions sur la façon de récupérer ses fichiers mais comme il s’agit de criminels, rien ne garantit qu’ils feront ce qu’ils ont promis. Il est possible que la victime paye la rançon mais qu’elle ne revoie jamais ses fichiers, ou que ses fichiers soient déverrouillés mais ensuite tout de même vendus sur le dark web. C’est pourquoi vous protéger contre une attaque dès le départ est la meilleure option.
Les opérateurs de RaaS ont mis des codes malveillants entre les mains de hackers incompétents, qui ont augmenté exponentiellement le nombre d’attaques. Malgré la portée et l’ampleur accrues des menaces, de nombreuses entreprises demeurent non protégées et non préparées, en laissant les données de leurs employés et/ou de leurs clients exposées à des risques et vulnérables à ces acteurs malveillants. Pour satisfaire les attentes de ceux qui sont concernés et respecter ses obligations, la meilleure défense est une bonne offensive : Défendre et protéger votre réseau, vos appareils et vos systèmes avec un comportement intelligent de l’utilisateur et des outils solides de cybersécurité.
Réduire la probabilité des menaces en :
Surveillant en permanence votre infrastructure
Segmentant votre réseau pour que la menace d’attaques latérales soit réduite
Réalisant plusieurs sauvegardes et les faire régulièrement en les stockant sur divers appareils et divers emplacements (hors-site) en dehors du réseau
Testant et validant ces sauvegardes
Réalisant des restaurations des systèmes essentiels tels que les contrôleurs de domaine
Promouvant une culture de la sécurité dans votre organisation avec des modules de sensibilisation et de formation des employés
Programmant un test d’intrusion pour chercher les vulnérabilités
Mettant en place plusieurs couches de protection, comme l’authentification multifacteur
Mettre en place la meilleure protection pour anticiper les attaques avec :
Un logiciel de cybersécurité complet et en temps réel
Une protection des terminaux et des outils de réponse qui cherchent les anomalies dans les procédures et les comportements des applications de votre réseau, de vos appareils, de vos postes de travail, etc.
Protection anti-phishing et anti-usurpation d’identité
Sauvegardes stockées séparément des données de protection pour qu’elles soient utilisées pour restaurer des opérations
Si vous êtes attaqué :
Isolez immédiatement la zone infectée, même si cela implique d’éteindre tout votre système.
Identifiez le point d’entrée (arnaque par phishing, logiciel dépassé, etc.).
Renforcez votre logiciel de sécurité.
Renforcez la formation des utilisateurs.
Le modèle commercial du RaaS a gagné en popularité, car il permet aux cybercriminels moins qualifiés de réaliser plus facilement leurs propres attaques par ransomware sophistiquées sur des victimes non soupçonnées. La menace est croissante, mais les professionnels de la cybersécurité travaillent dur pour former les utilisateurs et créer des solutions qui trouvent les ransomwares malveillants avant qu’ils n’infligent des dommages.
Ping Identity peut vous aider à rester protégé en ajoutant des couches supplémentaires de défense contre certains des vecteurs d’attaque les plus courants. En savoir plus sur la solution de single sign-on et la solution d’authentification multifacteur de Ping.
Source :
1IBM. IBM Security Data Breach Report 2022.
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite