Ces dernières années, il y a eu une augmentation des attaques de type ransomware en tant que service (RaaS), qui infectent les ordinateurs et obligent les utilisateurs à payer des rançons pour récupérer leurs données. Les criminels exigent des paiements de plus importants, car les nouvelles tactiques de ransomware, telles que la double extorsion, s’avèrent efficaces. Le passage spectaculaire d’un modèle d’attaque linéaire à un RaaS multidimensionnel insidieux a été à l’origine de la récente recrudescence des attaques de ransomware. Les attaques RaaS devraient devenir plus courantes à l’avenir. Ils sont populaires en raison de leur facilité d’utilisation et du fait qu’aucune connaissance technique n’est requise.
Qu’est-ce qu’un RaaS ?
Le ransomware en tant que service (RaaS) est un modèle basé sur un abonnement qui permet aux affiliés d’exécuter des attaques de ransomware à l’aide d’outils de ransomware pré-développés. Les affiliés profitent de chaque paiement de rançon réussi.
Le ransomware en tant que service (RaaS) est un modèle commercial similaire au logiciel en tant que service (SaaS). Auparavant, des connaissances en codage étaient nécessaires pour tous les pirates informatiques qui réussissaient. Cependant, avec l’avènement du modèle RaaS, cette exigence technique a été complètement éliminée.
Les utilisateurs de RaaS, comme tous ceux de SaaS, n’ont pas besoin d’être qualifiés ou même expérimentés pour utiliser efficacement l’outil. Les solutions RaaS, par conséquent, permettent même aux pirates les plus inexpérimentés de mener des cyberattaques hautement sophistiquées.
Les solutions RaaS versent d’énormes dividendes à leurs affiliés. Celles-ci sont spécialement conçues pour la prolifération des victimes en raison de leur faible barrière technique à l’entrée et de leur énorme potentiel de revenus pour les affiliés.
Comment fonctionne le modèle RaaS?
Le RaaS est la livraison de ransomware via un modèle de logiciel en tant que service (SaaS). L’opérateur RaaS est au sommet de la hiérarchie organisationnelle. Il s’agit de l’équipe en charge de la création de la charge utile du ransomware qui crypte les données des utilisateurs.
Le fournisseur RaaS gère également toute l’infrastructure principale de la campagne de ransomware. Cela inclut le code du ransomware, un portail permettant aux clients potentiels de s’inscrire et d’utiliser le service, ainsi qu’un service client pour les aider dans leurs campagnes. Les fournisseurs de RaaS à service complet gèrent également les paiements par ransomware, qui sont généralement effectués sous la forme d’une crypto-monnaie telle que Bitcoin, et fournissent des clés de décryptage aux victimes qui paient la rançon. De plus, les fournisseurs de RaaS font activement la promotion de leurs services sur divers forums clandestins sur le dark Web.
RaaS a plusieurs modèles de revenus et d’affaires différents. En tant que modèle SaaS, il est disponible pour les utilisateurs potentiels sur un abonnement mensuel ou sous forme de frais uniques. Un autre modèle couramment utilisé par les fournisseurs de RaaS est celui d’affiliation. Le modèle RAAS d’affiliation exige que l’opérateur RaaS prélève un pourcentage prédéterminé de chaque paiement de rançon effectué par les victimes qui paient une rançon.
Comment fonctionnent les attaques RaaS?
La majorité des victimes de ransomware sont infiltrées via des attaques d’hameçonnage. Cette méthode consiste à obtenir des informations sensibles, telles que des mots de passe et des informations de paiement, à partir d’une source apparemment inoffensive.
L’hameçonnage par e-mail est le type le plus courant. Les victimes reçoivent un e-mail qui semble légitime, mais lorsqu’elles cliquent sur un lien, elles activent sans le savoir une cybermenace.
Les affiliés de RaaS envoient un e-mail d’hameçonnage convaincant aux victimes. Lorsque ces dernières cliquent sur un lien, elles sont dirigées vers un site d’exploitation où le ransomware est téléchargé secrètement.
Les e-mails d’hameçonnage sur le thème du Covid-19 inondent les boîtes de réception depuis l’épidémie. Ces courriels semblent très convaincants, en particulier pour une victime paniquée aux réserves fragiles.
Le ransomware se propage dans tout le système infecté, désactivant les pare-feu et les logiciels antivirus. Lorsque ces défenses sont violées, le ransomware peut télécharger automatiquement des composants d’accès à distance supplémentaires.
Si un point de terminaison vulnérable, tel qu’un ordinateur de bureau, un ordinateur portable ou un appareil IoT, est découvert, il pourrait servir de passerelle vers l’ensemble du réseau interne de l’entreprise. Les ransomware avec une profondeur de pénétration supérieure à celle-ci peuvent prendre toute une entreprise en otage.
Maintenant que le ransomware peut se propager sans être détecté, les fichiers de la victime sont cryptés et rendus inaccessibles. Étant donné que la plupart des ransomwares fonctionnent sous des processus autorisés, les victimes ne sont pas au courant des violations de données en cours.
Le jeu d’extorsion commence une fois l’attaque terminée. Un fichier TXT contenant une demande de rançon est placé sur l’ordinateur de la victime. En échange d’une clé de déchiffrement, les victimes sont invitées à payer une rançon. Certains gangs de ransomwares utilisent un modèle d’extorsion à deux niveaux. Ils exigent un paiement de rançon en échange d’une clé de description et menacent de publier les données compromises sur le dark Web si le paiement n’est pas reçu avant la date limite.
Parce que le dark Web est un réseau infesté de criminels, toute information divulguée sur la plateforme accorde à plusieurs groupes de cybercriminels un accès gratuit à vos données sensibles et à celles de vos clients. De nombreuses victimes de ransomwares sont obligées de se conformer aux exigences des cybercriminels par crainte d’une nouvelle exploitation.
Les victimes sont invitées à télécharger un navigateur Web sombre et à payer via une passerelle de paiement dédiée afin d’effectuer le paiement de la rançon. En raison de l’intraçabilité de la crypto-monnaie, la plupart des paiements par ransomware sont effectués avec Bitcoin.
Chaque paiement de rançon est acheminé par un blanchisseur d’argent, qui masque le chemin des fonds afin qu’ils ne puissent pas être retracés jusqu’au développeur du ransomware ou à un affilié du RaaS.
Voici quelques Exemples de RaaS :
-
DarkSide : DarkSide est l’un des fournisseurs de RaaS les plus connus. Ce groupe serait à l’origine de l’attaque de mai 2021 contre le Pipeline Colonial. On pense que DarkSide a commencé en août 2020 et a été particulièrement actif au cours des premiers mois de 2021.
-
Dharma : Dharma Ransomware, anciennement connu sous le nom de CrySis, est apparu pour la première fois en 2016. Il y a eu de nombreuses variantes de ransomware Dharma au fil des ans, mais Dharma est apparu pour la première fois dans un modèle RaaS en 2020.
-
DoppelPaymer : DoppelPaymer a été lié à plusieurs incidents, dont un en 2020 contre un hôpital en Allemagne qui a entraîné la mort d’un patient.
-
LockBit : LockBit est apparu pour la première fois en septembre 2019 sous le nom de “.virus abcd, ” l’extension de fichier utilisée par le groupe pour crypter les fichiers des victimes. L’une des caractéristiques de LockBit est sa capacité à s’auto-promouvoir dans un réseau cible. Cela en fait un RaaS attrayant pour les attaquants potentiels.
-
Maze : Maze, comme de nombreux autres fournisseurs de RaaS, a fait ses débuts en 2019. En plus de crypter les données des utilisateurs, le groupe RaaS a menacé les victimes de partager des données publiques. Le Maze RaaS sera officiellement fermé en novembre 2020 pour des raisons encore inconnues. Certains chercheurs pensent que les mêmes criminels ont continué à opérer sous un nom différent, comme Egregor.
-
REvil : Bien qu’il existe plusieurs fournisseurs de RaaS, aucun n’a été aussi répandu en 2021 que REvil. En juillet 2021, le REvil RaaS a été impliqué dans l’attaque de Kaseya, qui a touché au moins 1 500 organisations. Le groupe a également été accusé d’avoir mené une attaque contre le producteur de viande JBS USA en juin 2021, pour laquelle la victime a payé une rançon de 11 millions de dollars. REvil était également lié à une attaque de ransomware contre le fournisseur de cyberassurance CNA Financial en mars 2021.
-
Ryuk : On pense que Ryuk est actif au moins depuis 2017, le RaaS étant plus actif en 2019. Plusieurs sociétés de sécurité, dont CrowdStrike et FireEye, ont réfuté les affirmations selon lesquelles le groupe était basé en Corée du Nord.
Ransomware: devriez-vous payer la rançon ?
Il est difficile de décider de payer ou non la rançon. Lorsque vous payez, vous faites confiance aux cybercriminels pour tenir leur promesse de vous fournir une clé de décryptage.
Les opérations cybercriminelles sont intrinsèquement immorales; vous ne pouvez pas compter sur les criminels pour tenir leurs promesses. En fait, de nombreux affiliés RaaS ne perdent pas de temps à fournir des clés de déchiffrement à toutes les victimes payantes; au lieu de cela, ils passent leur temps à chercher de nouvelles victimes payantes.
Le FBI déconseille fortement de payer des rançons car cela ne garantit jamais le décryptage des données saisies.
Comment prévenir les attaques de ransomware en tant que service
Il existe plusieurs bonnes pratiques qui peuvent être utilisées pour réduire le risque de ransomware :
-
La sauvegarde et la récupération des données : La première étape, et sans doute la plus importante, consiste à mettre en œuvre une stratégie de sauvegarde et de récupération des données. Les données sont cryptées par un ransomware, ce qui les rend inaccessibles aux utilisateurs. L’impact du chiffrement des données par un attaquant peut être atténué si une organisation dispose de sauvegardes à jour pouvant être utilisées dans une opération de récupération.
-
Logiciel de mise à jour : Les ransomware tirent fréquemment parti des vulnérabilités connues des applications et des systèmes d’exploitation. La mise à jour du logiciel au fur et à mesure de la publication des correctifs et des mises à jour est essentielle pour prévenir les attaques de ransomware.
-
L’authentification multifactorielle : Le bourrage d’informations d’identification, dans lequel les mots de passe volés sur un site sont réutilisés sur un autre, est utilisé par certains attaquants de ransomware pour accéder aux comptes d’utilisateurs. Comme l’authentification multifactorielle est toujours requis requise pour accéder, elle atténue l’impact d’un seul mot de passe réutilisé.
-
Protection contre d’hameçonnage : L’hameçonnage par e-mail est un vecteur d’attaque de ransomware courant. La mise en place d’une sécurité anti-hameçonnage des e-mails peut aider à prévenir les attaques RaaS.
-
Filtrage DNS : Les ransomware communiquent fréquemment avec la plateforme d’un opérateur RaaS via un serveur de commande et de contrôle (C2). Une requête DNS est presque toujours utilisée pour connecter un système infecté au serveur C2. Les organisations peuvent utiliser un service de sécurité de filtrage DNS pour détecter les tentatives de ransomware de communiquer avec le RaaS C2 et bloquer la communication. Cela peut agir comme une forme de protection contre les infections.
-
Sécurité des terminaux XDR : Les technologies de sécurité des terminaux et de chasse aux menaces, telles que XDR, constituent une autre couche critique de protection contre les ransomware. Cela offre des capacités de détection et de réponse améliorées, ce qui peut aider à réduire les risques de ransomware.
