L'ascension des Rançongiciels "RaaS" en 2022
Le Ransomware-As-A-Service est un modèle commercial dans lequel les logiciels malveillants sont développés par des criminels pour être utilisés par ces mêmes criminels. Il est très similaire aux modèles traditionnels de logiciels en tant que service. La grande différence est que, dans ce cas, le produit/service vendu est un outil utilisé pour des activités criminelles et pour déclencher des attaques de rançongiciel.
Commençons par répondre à la question la plus élémentaire : qu’est-ce qu’un rançongiciel ? Il s’agit d’un type de logiciel malveillant qui crypte les fichiers et les dossiers de la victime. Le retour en toute sécurité des données cryptées est promis contre le paiement d’une rançongiciel, mais dans de nombreux cas, cette promesse n’est pas tenue. Nous assistons à une augmentation massive des attaques de rançongiciels dans le monde entier et beaucoup d’entre elles sont alimentées par l’essor du RaaS.
Qu'est-ce qu'un RaaS (Ransomware as a Service) ?
S’il est facile pour un criminel d’exécuter un rançongiciel, le développement de ce dernier requiert des connaissances et des compétences techniques.
Le “Ransomware-as-a-Service” est la réponse à ce problème. Il s’agit d’un type de logiciel disponible en ligne, généralement sur le darkweb. Les développeurs créent des rançongiciels et les vendent pour une utilisation généralisée.
Les criminels qui étudient les options RaaS peuvent bénéficier d’offres spéciales et choisir parmi différents modèles d’abonnement, ce qui rend ce service si dangereux. Les offres RaaS dans le darkweb ressemblent beaucoup aux offres marketing traditionnelles pour les services logiciels.
Ces services sont proposés sous différentes formes telles que :
- Un accès illimité en payant une somme unique.
- Abonnements mensuels
- Le partage des bénéfices où le développeur reçoit une part de chaque attaque réussie et de chaque rançon gagnée.
Certains modèles peuvent inclure une combinaison de types de paiement. Par exemple, la participation aux bénéfices peut être combinée avec une redevance ou un abonnement mensuel.
Les rançongiciels sont hautement personnalisables, et les acheteurs disposent souvent d’interfaces élégantes leur permettant de personnaliser leurs logiciels malveillants. De nombreux fournisseurs de RaaS permettent même à un criminel novice d’accéder à leur boîte à outils, tandis que d’autres sont très sélectifs quant aux affiliés avec lesquels ils travaillent.
Les développeurs créent des logiciels malveillants, mais leurs profits dépendent souvent de la capacité des affiliés à les distribuer. C’est peut-être la raison pour laquelle certains créateurs mettent en place des processus de sélection rigoureux pour s’assurer qu’ils ne travaillent qu’avec des partenaires qui leur apporteront de bons retours.
Un défi important
Le RaaS est certainement l’un des défis commerciaux les plus importants aujourd’hui, mais il est tout aussi dangereux pour les étudiants et les adolescents.
À cet âge, les adolescents visitent souvent le darkweb et peuvent donc être accidentellement victimes d’attaques de rançongiciels.
Il est donc essentiel d’expliquer aux enfants de cet âge les dangers des sites tels que le darkweb, afin qu’ils ne s’attirent pas d’ennuis. Certains étudiants ont d’ailleurs fait part de leur expérience du RaaS dans leur déclaration personnelle pour les universités.
Comme il ne s’agit pas d’un sujet facile à décrire, l’utilisation d’un outil d’aide à la rédaction de la déclaration personnelle peut être d’une grande aide.
Exemples de Ransomware as a Service
De nombreux types différents de RaaS existent sur le darkweb. Les opérateurs développent constamment de nouveaux et meilleurs logiciels. Voici quelques exemples de rançongiciels tristement célèbres diffusés par le biais du modèle RaaS :
Egregor : Egregor fonctionne prétendument sur un système d’affiliation, les développeurs recevant une rançon de 20 à 30 %, le reste allant aux affiliés.
Lancé en septembre 2020, Egregor aurait remplacé Maze RaaS, qui a fait faillite à peu près au même moment. Plusieurs organisations françaises, telles que Ouest France, Ubisoft et Gefco, ont été victimes d’Egregor au cours de l’année écoulée. Il y a eu plusieurs arrestations récentes en France concernant l’extorsion d’Egregor.
REvil : Les développeurs de REvil RaaS sont apparemment très sélectifs quant aux personnes qu’ils autorisent en tant qu’affiliés. Les candidats au programme doivent prouver leur expérience du piratage avant d’être acceptés. REvil aurait rapporté à ses développeurs 100 millions de dollars en un an. Ce rançongiciel semble viser principalement les sociétés juridiques, d’assurance et agricoles.
REvil utilise un moyen légèrement différent des systèmes d’extorsion traditionnels pour gagner de l’argent. En plus d’exiger une rançon, le groupe menace également de faire fuir des données et d’extorquer davantage les victimes.
Le groupe REvil est responsable de la demande de rachat la plus importante à ce jour. En mars 2021, il a demandé une rançon de 50 millions de dollars au fabricant de produits électroniques Acer.
Dharma : Dharma est loin d’être nouveau sur la scène du RaaS et existe depuis 2017. Il remplace les fichiers portant l’extension dharma. Les demandes de rançon de Dharma ont tendance à être plus faibles que celles des autres RaaS, avec une moyenne d’environ 9000€. Certains chercheurs disent que cela peut être dû au fait que le fournisseur de RaaS permet même aux pirates inexpérimentés de se joindre en tant qu’affiliés.
Comment se protéger des RaaS ?
Tout comme dans le cas d’autres attaques de ranongiciel, il existe certaines mesures que vous pouvez prendre pour protéger votre organisation contre les attaques RaaS. En matière de cybersécurité, il vaut toujours mieux prévenir que guérir.
Nous vous recommandons donc de prendre les mesures suivantes pour renforcer votre préparation aux rançongiciels :
- Effectuez une évaluation de la situation actuelle de votre infrastructure de cybersécurité en termes de prévention des rançongiciels. Investir dans une évaluation de la préparation aux rançongiciels est une bonne idée.
- Assurez-vous que toutes vos informations confidentielles et vos données commerciales importantes sont sauvegardées. Il s’agit d’un investissement technologique qui vaut chaque centime. Si vous avez accès à vos données sauvegardées, en chiffrant certains fichiers ou en attaquant des appareils, le cybercriminel ne pourra pas faire grand-chose. D’autres conseils similaires sont disponibles dans notre liste de contrôle pour la prévention des rançongiciels.
- Formez votre personnel et vos équipes de réponse aux incidents à la réponse aux rançongiciels. Téléchargez des guides pratiques de réponse aux rançongiciels et des listes de contrôle de réponse aux rançongiciels pendant que vous y êtes. Veillez également à organiser régulièrement des exercices sur table sur les rançongiciels pour votre personnel afin de répéter et de mettre en pratique ce qui figure dans vos plans de réponse aux incidents. Cela permet de développer la mémoire musculaire sur la façon de répondre à une attaque par rançongiciel.