Modèle de distribution spécifique pour un type particulier de programme malveillant, le ransomware en tant que service (RaaS) constitue une menace importante pour la cybersécurité. Ce système semblable à un programme d’affiliation permet à un plus grand nombre de cybercriminels en puissance de lancer des attaques sans disposer des compétences techniques et de programmation nécessaires, ce qui accroît la fréquence des attaques par ransomware.
Compte tenu de l’ampleur des dégâts causés par les ransomwares, il est particulièrement important que les entreprises comprennent les répercussions des RaaS sur la cybersécurité et l’importance cruciale de protéger les systèmes contre les ransomwares.
Le Ransomware en tant que service (Ransomware as a Service, RaaS) est un modèle commercial spécialisé dans un type particulier de programme malveillant, le ransomware, et qui opère sur le Dark Web. Pour résumer, il s’agit d’une évolution malveillante du modèle SaaS (Software as a Service, ou logiciel en tant que service), plus traditionnel et légal, utilisé par de nombreuses grandes entreprises comme Microsoft, Adobe, Shopify, Zoom et Dropbox. Dans le modèle commercial RaaS, les opérateurs créent le ransomware (et souvent tout un écosystème autour) et le proposent à des tiers. Les cybercriminels peuvent « s’abonner » gratuitement au service de ransomware (RaaS). Une fois devenus partenaires du programme, ils paient pour le service après l’attaque sous forme d’un pourcentage de la rançon.
Les pirates informatiques qui souhaitent exécuter des attaques par ransomware mais n’ont ni le temps ni la capacité de développer leurs propres programmes malveillants peuvent simplement choisir une solution RaaS sur le Dark Web. Ils ont accès aux ransomwares et à tous les modules nécessaires, comme les panneaux de commande et de configuration (C2), les logiciels de création (programmes permettant de créer rapidement des échantillons uniques de programmes malveillants), les dernières versions des programmes malveillants et des interfaces, l’assistance, les instructions et l’hébergement. Ils peuvent alors lancer leur attaque, sans devoir effectuer tout le travail de développement. Ainsi, les acteurs malveillants peuvent exécuter une chaîne sophistiquée d’attaques par ransomware sans la moindre connaissance ou expérience dans le développement de ces types de programmes malveillants.
Souvent, les opérateurs qui proposent des ransomwares en tant que service développent une offre complète autour de leurs programmes malveillants. Il peut s’agir de services divers et variés, comme des forums communautaires, des instructions pour les attaques stratégiques et un service d’assistance à la clientèle. Tout cela est particulièrement utile pour les pirates en herbe qui n’ont aucune expérience dans le domaine. Les services RaaS supplémentaires peuvent comprendre :
Quel que soit le type de ransomware en tant que service choisi, l’objectif final est toujours le même : compromettre le réseau d’un individu ou d’une organisation et voler ou déchiffrer des données, puis amener la cible à payer une rançon.
« Programme malveillant » est un terme générique désignant tout type de programme malveillant utilisé pour obtenir un accès non autorisé à un système informatique ou à un appareil électronique. L’objectif peut être multiple, comme le vol de données ou l’interruption du système. Le ransomware, quant à lui, est un programme malveillant utilisé pour infecter le système d’une cible et chiffrer ou détruire ses données. La cible peut être obligée de payer une rançon, d’où son nom, afin d’empêcher le pirate de divulguer publiquement les informations, ou de recevoir une clé de déchiffrement pour restaurer les données si elles ont été chiffrées
Étant donné que le RaaS permet un type particulier de cybercriminalité et qu’il opère sur le Dark Web, il devrait être tout à fait clair que l’ensemble du modèle commercial est illégal. Toute forme d’implication dans le secteur, en tant qu’opérateur comme affilié (« abonné »), est illégale. Cela inclut la mise en vente de RaaS, l’achat d’un RaaS dans le but d’exécuter des attaques par ransomware, de pénétrer dans les réseaux, de chiffrer les données ou d’extorquer des rançons.
Le RaaS fonctionne selon une hiérarchie organisationnelle. Au sommet de l’échelle se trouve l’opérateur, généralement un groupe qui développe le ransomware et le met en vente. L’opérateur agit essentiellement en tant qu’administrateur, supervisant tous les aspects des opérations commerciales du RaaS, y compris la gestion de son infrastructure et de l’interface utilisateur. Souvent, l’opérateur s’occupe également du paiement des rançons et fournit la clé de déchiffrement aux victimes qui paient. Au sein du groupe d’opérateurs, il peut y avoir des rôles désignés plus restreints, notamment des administrateurs, des développeurs et des équipes de test.
Les affiliés du RaaS, les « clients », achètent l’accès au RaaS afin d’utiliser le ransomware de l’opérateur pour leurs attaques. Ils identifient les possibilités d’attaque et les déploient. Le rôle de l’affilié est d’identifier les cibles, d’exécuter le ransomware, de fixer la rançon, de gérer la communication post-attaque et d’envoyer les clés de déchiffrement une fois la rançon payée.
Les récentes conclusions de Kaspersky pour la Journée contre les ransomwares 2023 dévoilent les principaux vecteurs initiaux des attaques par ransomware en 2022. Le rapport révèle que plus de 40 % des entreprises ont subi au moins une attaque par ransomware l’année dernière, les petites et moyennes entreprises payant en moyenne 6 500 dollars pour récupérer leurs données, contre un vertigineux 98 000 dollars pour les grandes entreprises. L’étude a mis en évidence les principaux points d’entrée des attaques, notamment l’exploitation d’applications publiques (43 %), les comptes d’utilisateurs compromis (24 %) et les emails malveillants (12 %).
Une fois le ransomware téléchargé sur le système, il tente de désactiver le logiciel de sécurité des terminaux. Une fois le pirate dans le système, il peut réinstaller les outils et les programmes malveillants et donc se déplacer sur le réseau et déployer le ransomware. Il peut ensuite envoyer une demande de rançon après avoir chiffré les fichiers. En général, cela se fait par le biais d’un fichier TXT qui apparaît sur l’ordinateur de la victime et l’informe que son système a été violé et qu’elle doit payer une rançon pour recevoir une clé de déchiffrement pour reprendre le contrôle.
Les cybercriminels peuvent « s’abonner » gratuitement au service de ransomware (RaaS). Une fois partenaires du programme, ils paient pour le service après l’attaque. Le montant du paiement est déterminé par un pourcentage de la rançon payée par la victime, allant généralement de 10 à 40 % de chaque transaction. Cependant, entrer dans le programme n’est pas une mince affaire, car il faut satisfaire à des exigences rigoureuses.
Les cybercriminels sont passés maîtres dans l’art de faire évoluer leurs services de ransomware afin de pouvoir toujours répondre aux demandes des « clients » qui achètent des RaaS. Il existe une grande variété de programmes de ransomware en tant que service (RaaS) disponibles sur le Dark Web, et il peut être utile d’en avoir une vue d’ensemble pour comprendre comment et pourquoi ils constituent une menace. Voici quelques exemples de ransomware en tant que service qui se sont répandus ces dernières années.
Les ransomwares ne sont que l’une des nombreuses menaces dont les internautes doivent être conscients, et qui peuvent s’avérer aussi difficiles que coûteuses à contrer. Bien qu’il soit impossible de neutraliser complètement ces menaces, il existe une multitude de mesures et de bonnes pratiques pour améliorer la cybersécurité contre le RaaS et, de fait, éviter de nombreuses attaques numériques. Voici dix conseils pour protéger les appareils électroniques contre les ransomwares :
Bien entendu, même les mesures de protection les plus strictes n’empêcheront pas toujours une attaque par ransomware. Lorsque le pire se produit, il existe encore quelques options pour atténuer les conséquences de ces attaques.
Les ransomwares sont un problème de cybersécurité en soi. Cependant, le modèle commercial du ransomware en tant que service a transformé ce programme malveillant en une menace beaucoup plus importante en donnant à un plus grand nombre de cybercriminels potentiels la possibilité de lancer ces attaques sans aucune expertise ou connaissance particulière. Comme ces attaques peuvent avoir de graves conséquences financières pour les organisations ou les individus ciblés, il est important de comprendre les différentes méthodes de protection des systèmes contre les attaques par ransomware. Il s’agit pour la plupart de bonnes pratiques de base en matière de cybersécurité, mais les organisations peuvent envisager des efforts supplémentaires, comme des formations à la sécurité et des sauvegardes régulières sur différents systèmes.
Obtenez Kaspersky Premium et profitez d’UN AN GRATUIT de Kaspersky Safe Kids. Kaspersky Premium a reçu cinq prix AV-TEST pour la meilleure protection, les meilleures performances, le VPN le plus rapide, le contrôle parental approuvé pour Windows ainsi que le meilleur classement pour le contrôle parental Android.
Autres articles et liens connexes :
Principales attaques par ransomware
Les plus grandes menaces de ransomwares
Produits et services connexes :