top of page
Rechercher

Comment se protéger des menaces de type Ransomware-as-a-Service (RaaS)

  • Terry Telford
  • 30 juin
  • 6 min de lecture
Écran d'ordinateur avec une icône représentant un crâne, indiquant un virus ou une menace. Fond vert, design simple, exprimant la prudence ou le danger.

La cybercriminalité est devenue un jeu d'enfant grâce à l'invention du Ransomware-as-a-Service (RaaS). Ce modèle démocratise l'accès à des outils malveillants sophistiqués, permettant à un plus large éventail d'individus de lancer des attaques par rançongiciel, même sans compétences techniques avancées.


Un rançongiciel est un logiciel malveillant conçu pour verrouiller ou chiffrer les ressources numériques de la victime (fichiers, appareils ou systèmes entiers), les rendant inutilisables jusqu'au versement d'une rançon à l'attaquant. Le RaaS va encore plus loin en proposant des outils de rançongiciel pré-configurés, sur abonnement ou à l'utilisation.


Dans ce modèle « commercial », le développeur initial du rançongiciel fournit son logiciel malveillant à d'autres acteurs, souvent appelés « affiliés ». Ces derniers déploient ensuite le rançongiciel pour prendre en otage les données d'une organisation. Ce modèle partagé profite aux deux parties : le développeur du rançongiciel augmente ses gains potentiels tout en réduisant ses risques personnels, car il n'est pas celui qui exécute directement l'acte d'extorsion final.


Parallèlement, les affiliés ont accès à de puissantes capacités de cyberattaque qu'ils ne pourraient peut-être pas créer eux-mêmes. Bien qu'elles soient universellement illégales et contraires à l'éthique, les opérations RaaS sont malheureusement devenues de plus en plus répandues.


Comment fonctionne le modèle Ransomware as a Service (RaaS)


Le RaaS fonctionne comme une plateforme SaaS (Software-as-a-Service) légitime, mais à des fins illicites. Au sommet de cette hiérarchie illicite se trouve l'opérateur RaaS. Cet individu ou ce groupe est responsable de :

  • Développement de la charge utile du ransomware : le code principal qui crypte les données des victimes.

  • Gestion de l'infrastructure back-end : cela inclut le code du ransomware lui-même, un portail permettant aux affiliés de s'inscrire et d'accéder au service, et même un « support client » pour aider les affiliés dans leurs campagnes.

  • Gestion des paiements de rançon : généralement facilitée par des crypto-monnaies comme Bitcoin.

  • Fourniture de clés de décryptage : aux victimes qui acceptent la demande de rançon.

  • Recrutement d'affiliés : publicité active de leurs services sur des forums en ligne clandestins, en particulier sur le dark web.


Les affiliés sont les participants actifs qui utilisent le rançongiciel et acceptent une structure tarifaire basée sur le recouvrement des rançons. Le modèle de partage des revenus entre l'opérateur et l'affilié peut varier considérablement selon le programme RaaS concerné.


Modèles commerciaux RaaS courants


Plusieurs structures commerciales différentes existent au sein de l’écosystème RaaS :

  • Basé sur un abonnement : les affiliés paient des frais mensuels récurrents pour accéder à la plateforme RaaS et reçoivent un petit pourcentage de tout paiement de rançon réussi.

  • Licence unique : les utilisateurs paient des frais initiaux uniques pour un accès indéfini aux services RaaS, sans avoir à partager les bénéfices ultérieurs.

  • Programmes d'affiliation : l'opérateur prélève un pourcentage prédéterminé sur chaque rançon versée à l'affilié. Il s'agit d'un arrangement courant visant à maximiser le partage des bénéfices.

  • Partage des bénéfices : après l'achat d'une licence initiale, les revenus des rançons réussies sont répartis entre l'affilié et l'opérateur en fonction de pourcentages convenus.


RaaS vs. Ransomware traditionnel


Bien qu'ils soient étroitement liés, il est important de faire la différence entre les ransomwares et les RaaS :

  • Un rançongiciel désigne un logiciel malveillant qui chiffre les données et exige un paiement. Une fois le système compromis, une rançon est demandée et, théoriquement, une clé de déchiffrement est fournie contre paiement (bien que les attaquants puissent toujours dissimuler des données). Certaines variantes de rançongiciel, comme la double ou la triple extorsion, cherchent à maximiser leur influence en menaçant de divulguer des données ou de perturber les services.

  • Le RaaS transforme les rançongiciels en services ou produits accessibles à d'autres acteurs malveillants. Il élargit considérablement leur portée et leur accessibilité. Au lieu d'une seule entité développant et déployant les rançongiciels, le RaaS permet à plusieurs groupes de lancer des attaques en s'abonnant à un service.


Les opérations RaaS ont également tendance à être plus résilientes que les attaques lancées par un acteur malveillant isolé. Les opérateurs RaaS disposent souvent d'une infrastructure robuste et d'une expertise technique leur permettant de développer de nouvelles variantes de logiciels malveillants évasifs. De plus, la nature décentralisée du RaaS rend son démantèlement difficile. Perturber un affilié n'a pas nécessairement d'impact sur l'opérateur, et capturer un opérateur ne freine pas ses affiliés existants, qui peuvent simplement migrer vers un autre kit de ransomware disponible.


Fournisseurs RaaS notables


Ces dernières années, les opérations RaaS ont connu une forte croissance, impactant divers secteurs à l'échelle mondiale. Parmi les principaux fournisseurs de RaaS, on peut citer :

  • RansomHub : Apparu début 2024, ce groupe RaaS a été impliqué dans de nombreuses attaques, ciblant notamment des infrastructures critiques comme les réseaux d'eau. Il aurait des liens avec le groupe Alphv, auparavant actif.

  • RTM Locker : Connu sous le nom de Read the Manual Locker, ce fournisseur RaaS a fait son apparition en 2023 et propose un modèle d'affiliation standard. Ses affiliés bénéficient d'une interface web pour gérer leurs activités criminelles, ainsi que de directives opérationnelles.

  • REvil : L'un des opérateurs RaaS les plus actifs, REvil a été impliqué dans la vaste attaque de la chaîne d'approvisionnement Kaseya en 2021, qui a touché des milliers d'organisations. Il aurait également été à l'origine d'une attaque majeure contre le producteur de viande JBS USA, qui a donné lieu au versement d'une rançon de 11 millions de dollars.

  • DarkSide : Célèbre pour l'incident du Colonial Pipeline en 2021, DarkSide a été particulièrement actif début 2021 avant de cesser ses activités.

  • DoppelPaymer : Ce groupe a été associé à un incident tragique en Allemagne en 2020, où une attaque dans un hôpital a entraîné la mort d'un patient.

  • LockBit : Apparu pour la première fois en 2019, LockBit a acquis une notoriété pour ses capacités d'auto-propagation au sein des réseaux cibles, ce qui en fait une offre RaaS attrayante.

  • Maze : Actif en 2019, Maze était connu pour ses tactiques de double extorsion, menaçant de divulguer publiquement les données volées. Officiellement dissous en 2020, ses méthodes ont perduré sous le nom d'Egregor.

  • Dharma : Initialement connu sous le nom de CrySis en 2016, Dharma a évolué vers un modèle RaaS vers 2020, avec diverses itérations observées au fil des ans.


La prolifération des attaques basées sur RaaS souligne le besoin crucial pour les organisations d’adopter des mesures de cybersécurité proactives.


Défense contre les attaques RaaS


Atténuer le risque de ransomware, y compris les attaques alimentées par RaaS, implique la mise en œuvre d'une stratégie de sécurité multicouche :

  • Sauvegarde et récupération de données robustes : Un plan de sauvegarde et de récupération de données à jour et rigoureusement testé est primordial. Cela permet aux organisations de restaurer leurs opérations et leurs données, même chiffrées, réduisant ainsi considérablement l'impact d'une attaque et l'incitation à payer une rançon.

  • Mises à jour logicielles régulières : Les rançongiciels exploitent fréquemment les vulnérabilités connues des systèmes d'exploitation et des applications. Des correctifs et des mises à jour réguliers sont essentiels pour combler ces failles de sécurité.

  • Authentification multifacteur (MFA) : la mise en œuvre de l'authentification multifacteur ajoute une couche de sécurité essentielle. Même si des attaquants obtiennent des mots de passe par « credential stuffing » (réutilisation d'identifiants volés), le deuxième facteur d'authentification empêche tout accès non autorisé.

  • Protection contre le phishing : Le phishing par e-mail reste un vecteur majeur de diffusion de ransomwares. Le déploiement de solutions de sécurité anti-phishing robustes permet d'intercepter de nombreuses tentatives de RaaS.

  • Filtrage DNS : les rançongiciels communiquent souvent avec les serveurs de commande et de contrôle (C&C) de leurs opérateurs via des requêtes DNS (Domain Name System). Les services de filtrage DNS peuvent détecter et bloquer ces communications malveillantes, contribuant ainsi à prévenir ou à contenir une infection.

  • Sécurité avancée des terminaux (XDR/Antivirus) : des technologies telles que la détection et la réponse étendues (XDR) et l'antivirus de nouvelle génération offrent une protection avancée des terminaux, une recherche des menaces et des capacités de réponse qui sont essentielles pour limiter les risques de ransomware.

  • Gestion de la sécurité des tiers : les entreprises doivent examiner et surveiller les pratiques de sécurité de leurs fournisseurs et partenaires tiers pour prévenir les attaques de la chaîne d’approvisionnement.

  • Contrôle d'accès strict : limiter l'accès administratif et système aux seules personnes qui en ont réellement besoin minimise les surfaces d'attaque potentielles et les dommages qu'un attaquant peut infliger s'il y accède.

  • Éducation des employés en matière de cybersécurité : une formation régulière des employés sur les meilleures pratiques en matière de cybersécurité, la reconnaissance des tentatives de phishing et la compréhension des tactiques d'ingénierie sociale est un moyen très efficace de renforcer les défenses contre le RaaS et d'autres cybermenaces.


L'évolution du paysage du RaaS


L’adoption croissante des services RaaS contribue directement à l’augmentation des attaques ciblées de ransomware, qui représentent une part importante des violations de cybersécurité ces dernières années.


Les tendances futures en matière de RaaS devraient inclure des algorithmes de chiffrement plus sophistiqués, des techniques d'évasion améliorées pour contourner les défenses et le développement de rançongiciels adaptés à des cibles très spécifiques. Les tactiques d'extorsion multicouches (double, triple, voire quadruple extorsion) se multiplient également, créant des points de pression supplémentaires pour les victimes.


L'émergence rapide de nouvelles variantes de ransomwares représente un défi constant pour les équipes de sécurité. Des mesures proactives, telles que des programmes de correctifs rigoureux et une correction rapide des vulnérabilités, sont cruciales. L'avènement de l'IA générative ouvre également de nouvelles perspectives, avec le potentiel de l'IA de créer des ransomwares personnalisés et d'identifier de nouvelles vulnérabilités.


Bien que la trajectoire précise des attaques RaaS reste incertaine, les organisations doivent renforcer de manière proactive leur posture de cybersécurité pour atténuer les impacts potentiels de cette menace en constante évolution.

bottom of page