Ignorer le contenu principal
resources

Qu’est-ce qu’un ransomware en tant que service ?

Modèle de distribution spécifique pour un type particulier de programme malveillant, le ransomware en tant que service (RaaS) constitue une menace importante pour la cybersécurité. Ce système semblable à un programme d’affiliation permet à un plus grand nombre de cybercriminels en puissance de lancer des attaques sans disposer des compétences techniques et de programmation nécessaires, ce qui accroît la fréquence des attaques par ransomware.

Compte tenu de l’ampleur des dégâts causés par les ransomwares, il est particulièrement important que les entreprises comprennent les répercussions des RaaS sur la cybersécurité et l’importance cruciale de protéger les systèmes contre les ransomwares.

Comprendre le ransomware en tant que service

Le Ransomware en tant que service (Ransomware as a Service, RaaS) est un modèle commercial spécialisé dans un type particulier de programme malveillant, le ransomware, et qui opère sur le Dark Web. Pour résumer, il s’agit d’une évolution malveillante du modèle SaaS (Software as a Service, ou logiciel en tant que service), plus traditionnel et légal, utilisé par de nombreuses grandes entreprises comme Microsoft, Adobe, Shopify, Zoom et Dropbox. Dans le modèle commercial RaaS, les opérateurs créent le ransomware (et souvent tout un écosystème autour) et le proposent à des tiers. Les cybercriminels peuvent « s’abonner » gratuitement au service de ransomware (RaaS). Une fois devenus partenaires du programme, ils paient pour le service après l’attaque sous forme d’un pourcentage de la rançon.

Les pirates informatiques qui souhaitent exécuter des attaques par ransomware mais n’ont ni le temps ni la capacité de développer leurs propres programmes malveillants peuvent simplement choisir une solution RaaS sur le Dark Web. Ils ont accès aux ransomwares et à tous les modules nécessaires, comme les panneaux de commande et de configuration (C2), les logiciels de création (programmes permettant de créer rapidement des échantillons uniques de programmes malveillants), les dernières versions des programmes malveillants et des interfaces, l’assistance, les instructions et l’hébergement. Ils peuvent alors lancer leur attaque, sans devoir effectuer tout le travail de développement. Ainsi, les acteurs malveillants peuvent exécuter une chaîne sophistiquée d’attaques par ransomware sans la moindre connaissance ou expérience dans le développement de ces types de programmes malveillants.

Souvent, les opérateurs qui proposent des ransomwares en tant que service développent une offre complète autour de leurs programmes malveillants. Il peut s’agir de services divers et variés, comme des forums communautaires, des instructions pour les attaques stratégiques et un service d’assistance à la clientèle. Tout cela est particulièrement utile pour les pirates en herbe qui n’ont aucune expérience dans le domaine. Les services RaaS supplémentaires peuvent comprendre :

  • Des outils de personnalisation pour créer des attaques très ciblées
  • Des outils supplémentaires, comme des programmes d’exfiltration de données
  • Des forums communautaires de conseil et de discussion
  • Des manuels pour les attaques stratégiques
  • Des instructions pour configurer le panneau et le produit
  • Des manuels sur les attaques avec une description des outils, des tactiques et des techniques pour les pirates.

Quel que soit le type de ransomware en tant que service choisi, l’objectif final est toujours le même : compromettre le réseau d’un individu ou d’une organisation et voler ou déchiffrer des données, puis amener la cible à payer une rançon.

Différence entre programmes malveillants, ransomwares et ransomwares en tant que service

« Programme malveillant » est un terme générique désignant tout type de programme malveillant utilisé pour obtenir un accès non autorisé à un système informatique ou à un appareil électronique. L’objectif peut être multiple, comme le vol de données ou l’interruption du système. Le ransomware, quant à lui, est un programme malveillant utilisé pour infecter le système d’une cible et chiffrer ou détruire ses données. La cible peut être obligée de payer une rançon, d’où son nom, afin d’empêcher le pirate de divulguer publiquement les informations, ou de recevoir une clé de déchiffrement pour restaurer les données si elles ont été chiffrées

Quelles sont les implications juridiques du ransomware en tant que service (RaaS) ?

Étant donné que le RaaS permet un type particulier de cybercriminalité et qu’il opère sur le Dark Web, il devrait être tout à fait clair que l’ensemble du modèle commercial est illégal. Toute forme d’implication dans le secteur, en tant qu’opérateur comme affilié (« abonné »), est illégale. Cela inclut la mise en vente de RaaS, l’achat d’un RaaS dans le but d’exécuter des attaques par ransomware, de pénétrer dans les réseaux, de chiffrer les données ou d’extorquer des rançons.

Comment fonctionne le ransomware en tant que service ?

Le RaaS fonctionne selon une hiérarchie organisationnelle. Au sommet de l’échelle se trouve l’opérateur, généralement un groupe qui développe le ransomware et le met en vente. L’opérateur agit essentiellement en tant qu’administrateur, supervisant tous les aspects des opérations commerciales du RaaS, y compris la gestion de son infrastructure et de l’interface utilisateur. Souvent, l’opérateur s’occupe également du paiement des rançons et fournit la clé de déchiffrement aux victimes qui paient. Au sein du groupe d’opérateurs, il peut y avoir des rôles désignés plus restreints, notamment des administrateurs, des développeurs et des équipes de test.

Les affiliés du RaaS, les « clients », achètent l’accès au RaaS afin d’utiliser le ransomware de l’opérateur pour leurs attaques. Ils identifient les possibilités d’attaque et les déploient. Le rôle de l’affilié est d’identifier les cibles, d’exécuter le ransomware, de fixer la rançon, de gérer la communication post-attaque et d’envoyer les clés de déchiffrement une fois la rançon payée.

Les récentes conclusions de Kaspersky pour la Journée contre les ransomwares 2023 dévoilent les principaux vecteurs initiaux des attaques par ransomware en 2022. Le rapport révèle que plus de 40 % des entreprises ont subi au moins une attaque par ransomware l’année dernière, les petites et moyennes entreprises payant en moyenne 6 500 dollars pour récupérer leurs données, contre un vertigineux 98 000 dollars pour les grandes entreprises. L’étude a mis en évidence les principaux points d’entrée des attaques, notamment l’exploitation d’applications publiques (43 %), les comptes d’utilisateurs compromis (24 %) et les emails malveillants (12 %).

Une fois le ransomware téléchargé sur le système, il tente de désactiver le logiciel de sécurité des terminaux. Une fois le pirate dans le système, il peut réinstaller les outils et les programmes malveillants et donc se déplacer sur le réseau et déployer le ransomware. Il peut ensuite envoyer une demande de rançon après avoir chiffré les fichiers. En général, cela se fait par le biais d’un fichier TXT qui apparaît sur l’ordinateur de la victime et l’informe que son système a été violé et qu’elle doit payer une rançon pour recevoir une clé de déchiffrement pour reprendre le contrôle.

Comment le ransomware en tant que service est-il monétisé ?

Les cybercriminels peuvent « s’abonner » gratuitement au service de ransomware (RaaS). Une fois partenaires du programme, ils paient pour le service après l’attaque. Le montant du paiement est déterminé par un pourcentage de la rançon payée par la victime, allant généralement de 10 à 40 % de chaque transaction. Cependant, entrer dans le programme n’est pas une mince affaire, car il faut satisfaire à des exigences rigoureuses.

Exemples de ransomware en tant que service à connaître

Les cybercriminels sont passés maîtres dans l’art de faire évoluer leurs services de ransomware afin de pouvoir toujours répondre aux demandes des « clients » qui achètent des RaaS. Il existe une grande variété de programmes de ransomware en tant que service (RaaS) disponibles sur le Dark Web, et il peut être utile d’en avoir une vue d’ensemble pour comprendre comment et pourquoi ils constituent une menace. Voici quelques exemples de ransomware en tant que service qui se sont répandus ces dernières années.

  • LockBit : Ce ransomware-ci s’est introduit dans les réseaux de nombreuses organisations en exploitant les blocs de message serveur (SMB) et le programme d’automatisation et de gestion de la configuration PowerShell de Microsoft.
  • BlackCat : En utilisant la programmation Rust, ce ransomware est facile à personnaliser et peut donc être déployé contre de nombreuses architectures de systèmes.
  • Hive : Hive, un RaaS particulièrement néfaste, exerce une pression considérable sur ses cibles, les obligeant à payer la rançon en rendant publics les détails de la violation du système et en comptant souvent à rebours le moment où les informations volées seront divulguées.
  • Dharma : Les emails sont la méthode la plus courante pour exécuter des attaques de phishing, et ce RaaS, responsable de centaines d’attaques, imite celles-ci en ciblant les victimes par le biais de pièces jointes aux emails.
  • DarkSide : Le programme malveillant de ce groupe de ransomware serait à l’origine de la cyberattaque de 2021 contre Colonial Pipeline.
  • REvil : Probablement le groupe RaaS le plus répandu, ce ransomware est à l’origine des attaques de 2021 contre Kaseya, qui a touché quelque 1 500 organisations, et CAN Financial.

Dix conseils pour protéger vos appareils des ransomwares

Les ransomwares ne sont que l’une des nombreuses menaces dont les internautes doivent être conscients, et qui peuvent s’avérer aussi difficiles que coûteuses à contrer. Bien qu’il soit impossible de neutraliser complètement ces menaces, il existe une multitude de mesures et de bonnes pratiques pour améliorer la cybersécurité contre le RaaS et, de fait, éviter de nombreuses attaques numériques. Voici dix conseils pour protéger les appareils électroniques contre les ransomwares :

  1. Sauvegardez régulièrement les données sur un autre appareil, créez plusieurs sauvegardes si nécessaire. Les organisations devraient également disposer d’un plan de récupération des données en cas d’attaque.
  2. Utilisez un logiciel de protection des terminaux robuste qui analyse et supprime régulièrement les menaces.
  3. Assurez-vous que tous les logiciels sont à jour et qu’ils disposent des derniers correctifs de sécurité.
  4. Activez si possible l’authentification à plusieurs facteurs ou biométrique.
  5. N’oubliez pas l’hygiène des mots de passe : utilisez un gestionnaire de mots de passe fiable pour générer et conserver des mots de passe forts, et créez des identifiants différents pour chaque compte.
  6. Installez un logiciel d’analyse des emails performant pour détecter les emails malveillants et les potentielles attaques de phishing.
  7. Élaborez et maintenez une stratégie de cybersécurité solide : Soyez attentif au périmètre extérieur et créez une stratégie de cybersécurité complète qui couvre l’ensemble de l’organisation. Cette stratégie doit aborder les protocoles de sécurité pour l’accès à distance, les fournisseurs tiers et les employés.
  8. Comme les identifiants volés peuvent être mis en vente sur le Dark Web, utilisez Kaspersky Digital Footprint Intelligence pour surveiller les ressources fantômes et identifier rapidement les menaces associées
  9. Utilisez le principe du privilège minimum pour réduire l’accès à l’administration ou au système au plus petit nombre possible de personnes.
  10. Mettez en place une formation de sensibilisation à la sécurité qui couvre la cybersécurité du RaaS et d’autres menaces.
  11. Évitez de cliquer sur les liens contenus dans des emails si la source n’est pas connue et fiable. En cas de doute, tapez le nom du site Internet dans la barre de recherche du navigateur et accédez à la page manuellement.

Bien entendu, même les mesures de protection les plus strictes n’empêcheront pas toujours une attaque par ransomware. Lorsque le pire se produit, il existe encore quelques options pour atténuer les conséquences de ces attaques.

La menace persistante du ransomware en tant que service

Les ransomwares sont un problème de cybersécurité en soi. Cependant, le modèle commercial du ransomware en tant que service a transformé ce programme malveillant en une menace beaucoup plus importante en donnant à un plus grand nombre de cybercriminels potentiels la possibilité de lancer ces attaques sans aucune expertise ou connaissance particulière. Comme ces attaques peuvent avoir de graves conséquences financières pour les organisations ou les individus ciblés, il est important de comprendre les différentes méthodes de protection des systèmes contre les attaques par ransomware. Il s’agit pour la plupart de bonnes pratiques de base en matière de cybersécurité, mais les organisations peuvent envisager des efforts supplémentaires, comme des formations à la sécurité et des sauvegardes régulières sur différents systèmes.

Obtenez Kaspersky Premium et profitez d’UN AN GRATUIT de Kaspersky Safe Kids. Kaspersky Premium a reçu cinq prix AV-TEST pour la meilleure protection, les meilleures performances, le VPN le plus rapide, le contrôle parental approuvé pour Windows ainsi que le meilleur classement pour le contrôle parental Android.

Autres articles et liens connexes :

Principales attaques par ransomware

Les plus grandes menaces de ransomwares

Produits et services connexes :

Kaspersky Standard

Kaspersky Premium

Kaspersky Endpoint Security Cloud

Kaspersky VPN Secure Connection

Qu’est-ce qu’un ransomware en tant que service ?

Le ransomware en tant que service a augmenté la menace posée par ce programme malveillant sur la cybersécurité. Cet article vous présente ce que vous devez savoir.
Kaspersky Logo