Qu'est-ce que le ransomware en tant que service (RaaS) ?

Trend Micro: diminuer les risques liés aux ransomwares avec une gestion proactive de la surface d'attaque

Ransomware as a Service (RaaS)

Le RaaS (Ransomware as a service) est un modèle commercial de cybercriminalité qui implique la vente ou la location de ransomware à des acheteurs, appelés affiliés. Le RaaS peut être considéré comme l’une des principales raisons de la prolifération rapide des attaques de ransomware, car il a facilité le déploiement de ransomware contre leurs cibles pour divers acteurs malveillants, même ceux qui possèdent peu de compétences techniques et de connaissances. 

Comment fonctionne le RaaS ?

Le RaaS (Ransomware-as-a-Service) fonctionne comme le modèle SaaS (Software-as-a-Service) dans lequel les logiciels sont accessibles en ligne sur la base d’un abonnement. Cependant, le modèle RaaS continue également d’évoluer à sa manière, et cet écosystème entièrement fonctionnel et indépendant prospère dans le sous-sol. L’un des acteurs clés de ce modèle commercial est appelé opérateurs, qui développent et distribuent des ransomware, travaillant souvent en groupes structurés avec et ont des rôles désignés comme des dirigeants, des développeurs et des administrateurs système. Les groupes plus avancés peuvent également avoir d’autres rôles, tels que les testeurs de pénétration, les analystes victimes et les négociateurs pour affiner leurs attaques. 

Certaines tâches sont externalisées ou obtenues via des programmes affiliés, tels que l’accès en tant que service (AaaS), qui fournit des points d’entrée dans les organisations cibles. Les testeurs de pénétration qualifiés peuvent manquer d’outils de ransomware et fonctionner en tant qu’affiliés, en utilisant l’infrastructure RaaS pour exécuter des attaques. 

Un groupe criminel RaaS développe ou acquiert d’abord des logiciels de ransomware, puis recrute des affiliés via des forums, Telegram ou des réseaux personnels, investissant parfois jusqu’à 1 million USD en recrutement. Une fois intégrés, les affiliés mènent des attaques de manière indépendante. 

Le RaaS profite aux deux parties : les opérateurs profitent des paiements des affiliés, tandis que les affiliés accèdent aux ransomware sans frais de développement. Les modèles de revenus varient, y compris les abonnements, les frais ponctuels, l’intéressement ou le marketing d’affiliation. Cela permet aux opérateurs de se concentrer sur l’amélioration des ransomware, tandis que les affiliés gèrent l’exécution, faisant du RaaS un modèle de cybercriminalité hautement spécialisé et rentable. 

Ce modèle est également adopté par la communauté de la cybercriminalité, et l’exemple le plus important est « RaaS - Ransomware as a Service ». Par le passé, les attaques de ransomware étaient principalement menées par les développeurs de ransomware eux-mêmes. Contrairement au RaaS, les développeurs de ransomware n’effectuent pas eux-mêmes les attaques, mais rassemblent plutôt les soi-disant « affiliés » pour mener les attaques et leur fournir le ransomware. Si l’attaque de l’affilié est réussie et que la rançon est payée, les bénéfices sont répartis entre le développeur de ransomware et l’affilié en tant que frais de réussite. 

Exemples de RaaS

LockBit

LockBit est le groupe de ransomware le plus actif au monde. À partir de 2022-2023, il était responsable d'environ 20 à 30 % de toutes les détections de ransomware. Lors d’une récente attaque importante, la demande de rançon a augmenté jusqu’à 50 millions USD. 

LockBit 2.0 prétend avoir l'une des techniques de chiffrement les plus rapides parmi les autres ransomware. Il présente également des similitudes avec des familles de ransomware importantes, Ryuk et Egregor. 

Akira

Akira est un groupe de ransomware émergent qui est apparu en mars 2023. On pense qu’il est lié à Conti (qui est désormais inactif), qui était autrefois l’un des deux principaux groupes de ransomware, ainsi qu’à LockBit. 

Selon une enquête de Trend Micro, Akira a causé 107 incidents au cours des cinq mois qui ont suivi le 1er avril 2023, 85,9 % de ces incidents se produisant en Amérique du Nord. 

BlackCat

En mars 2022, BlackCat avait réussi à compromettre au moins 60 organisations. En 2023, les victimes de premier plan de BlackCat comprenaient Reddit et NextGen Healthcare. Il a acquis une notoriété initiale en étant la première famille professionnelle de ransomware créée dans le langage de programmation Rust, qui est notoirement sécurisé et capable de traitement simultané. 

Ils sont désormais connus pour leur technique de triple extorsion. En plus d'exposer des données exfiltrées, les acteurs de ransomware qui utilisent la triple extorsion menacent de lancer des attaques par déni de service distribué (DDos) sur l'infrastructure de leurs victimes pour les contraindre à payer la rançon.  

image

Chaîne d’infection du ransomware BlackCat observée en 2022

Black Basta

Black Basta est un groupe de ransomware qui a été identifié pour la première fois en avril 2022, et comme Akira, il est suspecté d’être lié à Conti. En plus du RaaS, Black Basta développe activement la division du travail dans les attaques, comme la sollicitation d’informations d’authentification pour l’accès au réseau d’entreprise sur des forums souterrains en échange d’une part des bénéfices des attaques de ransomware. En outre, Black Basta a développé des builds pour Linux, et on peut voir qu'ils essaient d'étendre la portée du chiffrement. 

image

Chaîne d’infection de Black Basta 

Comment le RaaS attire-t-il les affiliés ? - Une étude de cas de LockBit

Pourquoi LockBit, le plus grand groupe de ransomware, a-t-il pu attirer autant d’affiliés et créer un RaaS à grande échelle ? Les principales raisons sont le ratio élevé de participation aux bénéfices et la facilité d’utilisation. 

Rapport de participation élevé

LockBit a offert aux affiliés une part de revenus très attrayante, remboursant 80 % de l'argent de rançon qu'ils ont acquis. Selon une déclaration d'EUROPOL, le montant total des dommages causés par LockBit équivaut à plusieurs milliards d'euros, nous pouvons donc imaginer que les revenus des sociétés affiliées impliquées dans LockBit étaient également énormes. Par le passé, LockBit a exigé des rançons allant jusqu'à 70 millions de dollars, et si même une telle attaque est réussie, l'affilié sera en mesure d'obtenir de l'argent que les personnes ordinaires ne peuvent pas obtenir. 

Facilité d'utilisation

LockBit a été populaire auprès des affiliés, car il a été conçu en pensant au RaaS. Par exemple, elle a même développé et maintenu une « interface conviviale » qui a facilité le choix parmi une variété d’options lors de l’assemblage du programme d’attaque final, réduisant les obstacles techniques pour que les utilisateurs RaaS commettent des crimes. 

Armé de ces éléments, LockBit a activement recruté des affiliés et a étendu son influence, mais il a maintenant atteint un défi unique au RaaS. Par exemple, nous avons confirmé que l'infrastructure de LockBit est instable et qu'il n'est pas possible d'utiliser les données sur le site de fuite, et dans de tels cas, il devient difficile pour les affiliés d'effectuer le chantage nécessaire à une attaque réussie. En outre, en février 2024, certains membres de LockBit ont été arrêtés et leurs serveurs et autres infrastructures ont été arrêtés, et des incidents comme celui-ci peuvent également être un facteur de départ des affiliés. En d’autres termes, la clé du succès du RaaS est d’obtenir la confiance des affiliés, mais si quelque chose se produit pour nuire à cela, le RaaS ne sera plus viable. 

image

Calendrier des activités notables de LockBit

Comment défendre les systèmes contre les ransomware

Pour que les entreprises se protègent contre les attaques de ransomware, il serait utile d'établir des plans de défense contre les ransomware. Ils peuvent être basés sur des cadres de sécurité, tels que ceux du Center of Internet Security (CIS) et du National Institute of Standards and Technology (NIST). Ces directives peuvent aider à hiérarchiser et à gérer les ressources pour la prévention, la défense et la récupération après un ransomware 

Voici quelques-unes des meilleures pratiques de ces cadres : 

Auditez les événements et faites l'inventaire

  • Actifs et données disponibles 
  • Appareils et logiciels autorisés et non autorisés 
  • Événements et incidents de sécurité 

Gérez et suivez les éléments suivants 

  • Configurations matérielles et logicielles 
  • Privilèges et accès administrateur 
  • Activité dans les ports, protocoles et services réseau 
  • Les dispositifs d'infrastructure réseau, tels que les pare-feu et les routeurs, et leurs configurations de sécurité 

Effectuez régulièrement les correctifs et les mises à jour suivants pour les logiciels et les applications 

  • Évaluations des vulnérabilités 
  • Correctif ou correctif virtuel 
  • Mise à jour de la version 

Protégez les systèmes et récupérez les données en mettant en œuvre les éléments suivants 

  • Mesures de protection, de sauvegarde et de récupération des données 
  • Authentification multifacteur (MFA) 

Sécurisez et défendez les couches

  • Le principe de défense en profondeur (DiD). Pour ce faire, plusieurs couches de défense sont créées contre les menaces potentielles. Par exemple, en bloquant les services non utilisés, non seulement sur un pare-feu, mais également sur des serveurs réels. 
  • Segmentation du réseau et principe du moindre privilège. Il est primordial de les suivre lorsque vous accordez des autorisations aux utilisateurs, services et rôles du système. 
  • Analyse statique et dynamique par email. Ces deux méthodes permettent d'examiner et de bloquer les emails malveillants. 
  • La dernière version des solutions de sécurité pour toutes les couches du système. Ces couches comprennent les emails, les endpoints, le Web et le réseau. 
  • Surveillance des signes précoces d’une attaque. L'identification de la présence douteuse de divers outils dans le système peut permettre aux organisations de gagner beaucoup de temps et d'efforts pour éviter les attaques possibles. 

 

Former et tester

  • Évaluation et formation sur les compétences en sécurité 
  • Exercices en équipe rouge et tests de pénétration 

Trend Micro Protection contre les ransomware

L'année dernière, 83 % des organisations ont fait face à plusieurs violations qui ont coûté 4,4 millions USD chacune. La réduction de l’exposition aux risques a permis d’économiser en moyenne 1,3 million USD. 

Trend Vision One™ – Attack Surface Risk Management (ASRM) réduit fortement les cyber-risques grâce à une détection continue, à des évaluations en temps réels et à une atténuation automatisée dans les environnements cloud, hybrides ou sur site.