Les attaques de ransomwares sont devenues une menace importante et omniprésente dans le domaine en constante évolution de la cybersécurité. Parmi les différentes itérations de ransomwares, une tendance qui a pris de l’importance est le Ransomware-as-a-Service (RaaS). Cette évolution alarmante a transformé le paysage de la cybercriminalité, permettant à des individus disposant d’une expertise technique limitée de mener des attaques dévastatrices.
Attaques de ransomware traditionnelles et à double extorsion
Traditionnellement, les ransomwares font référence à un type de malware qui crypte les fichiers de la victime, bloquant ainsi l’accès aux données et aux applications jusqu’à ce qu’une rançon soit payée à l’attaquant. Cependant, les attaquants plus contemporains emploient souvent une stratégie supplémentaire. Les acteurs malveillants créent des copies des données compromises et exploitent la menace de publication d’informations sensibles en ligne à moins que leurs demandes de rançon ne soient satisfaites. Cette double approche ajoute une couche supplémentaire de complexité et de préjudice potentiel pour les victimes.
Un nouveau modèle de ransomware
RaaS est le dernier modèle économique dans le monde des ransomwares. À l’instar d’autres offres « en tant que service », les pirates informatiques inexpérimentés peuvent désormais profiter d’outils à la demande pour mener des activités malveillantes. Au lieu de créer et de déployer leur propre ransomware, ils ont la possibilité de payer des frais, de sélectionner une cible et de lancer une attaque à l’aide d’outils spécialisés fournis par un fournisseur de services.
Ce modèle réduit considérablement le temps et les coûts nécessaires à l’exécution d’une attaque de ransomware, notamment lors de l’identification de nouvelles cibles. En fait, un récent sondage a révélé que le délai moyen entre un attaquant de ransomware violant un réseau et le chiffrement de fichiers est tombé en dessous de 24 heures pour la première fois.
Le modèle RaaS favorise également les économies d’échelle, dans la mesure où les fournisseurs de services sont motivés à développer de nouvelles souches capables de contourner les défenses de sécurité. Broja Rodriguez, responsable de l’équipe de chasse aux menaces chez Outpost24, souligne que le fait d’avoir plusieurs clients aide réellement les créateurs de ransomwares à commercialiser leurs outils.
« [The customers] propager un ransomware spécifiquement nommé sur de nombreuses machines, créant ainsi un sentiment d’urgence pour les victimes de payer. Lorsque les victimes effectuent des recherches sur le ransomware et trouvent plusieurs rapports à ce sujet, elles sont plus enclines à se conformer aux demandes de rançon. Cela s’apparente à une stratégie de marque dans le monde criminel. »
La base de clients signifie également que les créateurs de ransomwares peuvent obtenir des commentaires plus détaillés sur les techniques qui fonctionnent le mieux dans différents scénarios. Ils obtiennent des renseignements en temps réel sur la manière dont les outils de cybersécurité s’adaptent aux nouvelles souches et sur les vulnérabilités qui restent débranchées.
Le modèle économique du RaaS
Malgré sa nature illicite, le RaaS fonctionne de la même manière que les entreprises légitimes. Les clients, communément appelés « affiliés », disposent de diverses options de paiement, notamment des frais forfaitaires, des abonnements ou un pourcentage des revenus. Dans certains cas, les fournisseurs proposent même de gérer le processus de collecte des rançons, en utilisant généralement des crypto-monnaies introuvables, servant efficacement de processeurs de paiement.
C’est aussi un marché très concurrentiel, avec des retours d’utilisateurs sur les forums du « dark web ». Comme l’explique Broja Rodriguez, les clients ne sont pas fidèles et la concurrence fait grimper la qualité (ce qui est une mauvaise nouvelle pour les victimes). Si un service déçoit :
« [Customers] n’hésiterai pas à essayer un autre groupe RaaS. Avoir plusieurs affiliations élargit leurs options et augmente leurs chances de profiter de leurs activités cybercriminelles. Étant donné que tous les affiliés recherchent le meilleur groupe, la compétitivité entre les groupes RaaS peut augmenter. Un petit échec de votre malware qui ne s’exécute pas sur une victime peut vous faire perdre des affiliés, et ceux-ci se déplaceront vers d’autres groupes avec plus de reconnaissance de nom ou, du moins, vers ceux où leur malware s’exécute.
Se défendre contre le RaaS
Il existe de nombreuses recommandations pour se défendre contre les ransomwares qui soulignent l’importance de la continuité des activités. Il s’agit notamment de maintenir des sauvegardes fiables et de mettre en œuvre des plans efficaces de reprise après sinistre pour minimiser l’impact d’une attaque réussie. Même si ces mesures sont sans aucun doute utiles, il est crucial de noter qu’elles ne s’attaquent pas directement au risque d’exposition des données.
Pour atténuer efficacement les attaques de ransomwares, il est crucial d’identifier et de corriger de manière proactive les vulnérabilités de sécurité. L’exploitation des tests d’intrusion et des méthodologies de red teaming peut améliorer considérablement votre défense. Pour une approche continue et complète, en particulier pour les surfaces d’attaque dynamiques telles que les applications Web, un partenariat avec un fournisseur de pen testing as a service (PTaaS) est fortement recommandé. Le PTaaS d’Outpost24 offre des informations en temps réel, une surveillance continue et une validation par des experts, garantissant la sécurité de vos applications Web à grande échelle.
L’information est un atout essentiel dans la lutte contre les ransomwares, et la Cyber Threat Intelligence joue un rôle central. Threat Compass d’Outpost24 offre une approche modulaire, permettant la détection et l’analyse des menaces adaptées à l’infrastructure de votre organisation. En accédant à des renseignements à jour sur les menaces et à un contexte exploitable, votre équipe de sécurité peut réagir rapidement et efficacement, renforçant ainsi vos défenses contre les attaques de ransomwares.
L’essentiel
Les attaques de ransomwares sont devenues de plus en plus sophistiquées, donnant lieu à des menaces plus puissantes, ciblées et agiles. Pour se défendre efficacement contre cette menace en évolution, il est crucial d’utiliser des outils ciblés alimentés par les dernières informations en matière de renseignement. Contactez Outpost24 pour vous aider à prendre les mesures nécessaires pour protéger la sécurité de votre organisation.