Qu'est-ce que ransomware-as-a-Service (RaaS) ?

Rançongiciel-as-a-service (RaaS) permet à des attaquants qualifiés ou non de louer des outils de rançongiciel et de mener des attaques.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le concept de rançongiciel-as-a-service (RaaS)
  • Comprendre le modèle économique du RaaS
  • Apprenez à vous défendre contre les attaques de type RaaS

Copier le lien de l'article

Qu'est-ce que ransomware-as-a-Service (RaaS) ?

Rançongiciel-as-a-service (RaaS) est un modèle commercial pour les entreprises criminelles qui permet à quiconque de s'inscrire et d'utiliser des outils pour mener des attaques par rançongiciel. À l'instar d'autres modèles « as-a-service » tels que software-as-a-service (SaaS) ou platform-as-a-service (PaaS), les clients de RaaS louent des services de rançongiciel, au lieu de les posséder comme dans un modèle de distribution de logiciels traditionnel.

Un rançongiciel est un logiciel malveillant qui verrouille le système ou les fichiers d'une victime, généralement par le biais d'un chiffrement. La victime ne peut retrouver l'accès à ses données qu'après avoir payé une rançon aux parties à l'origine de l'attaque par rançongiciel. Les rançongiciels sont devenus une industrie majeure dans le monde criminel, représentant des milliards de dollars par an.

Alors que beaucoup s'imaginent que les personnes à l'origine de cyberattaques comme les rançongiciels sont des programmeurs hautement qualifiés, de nombreux attaquants n'écrivent pas leur propre code et ne savent peut-être même pas comment le faire. Les cybercriminels ayant des compétences en codage vendent ou louent souvent les exploits qu'ils développent au lieu de les utiliser eux-mêmes.

Les rançongiciels ne sont qu'un des secteurs de l'industrie de la cybercriminalité dont le modèle est « as-a-service ». Les attaquants peuvent également louer des outils DDoS, s'abonner à des listes d'informations d'identification volées, louer des botnets, ou louer des chevaux de Troie bancaires, entre autres services.

Comment fonctionne un Rançongiciel-as-a-service ?

Les services RaaS utilisent un certain nombre de modèles de revenus différents. Les fournisseurs peuvent facturer un abonnement mensuel forfaitaire, prendre un pourcentage des bénéfices de leurs clients, utiliser un hybride de ces deux modèles ou facturer un droit de licence unique. Une fois qu'un client RaaS a créé un compte et effectué son premier paiement (généralement en bitcoins), il peut sélectionner le type de logiciel malveillant qu'il souhaite utiliser.

Une fois le paiement effectué, les attaquants commencent leur campagne de distribution du logiciel malveillant et d'infection des victimes. Le plus souvent, les attaquants de rançongiciels ont recours à des campagnes de phishing ou d'ingénierie sociale pour tenter d'inciter les utilisateurs à exécuter le logiciel malveillant. (Ces méthodes sont assez bon marché par rapport à l'achat d'un exploit zero-day ou d'un accès à une porte dérobée). Une fois le logiciel malveillant exécuté, l'ordinateur de la victime est crypté et inutilisable, et l'attaquant affiche un message contenant des instructions sur l'endroit où envoyer la rançon.

Les fournisseurs de RaaS proposent souvent une assistance client 24 heures sur 24 et 7 jours sur 7 aux attaquants qui sont bloqués ou qui ne parviennent pas à faire fonctionner correctement leur logiciel malveillant. La plupart des fournisseurs disposent de forums communautaires où les clients peuvent poser des questions et échanger des idées. Beaucoup proposent également des guides détaillés sur la manière d'exécuter une attaque de rançongiciel avec leurs outils.

Qui utilise le RaaS ?

Certains fournisseurs de RaaS sont assez pointilleux quant à la clientèle à laquelle ils vendent leurs logiciels. Ils peuvent vouloir des clients hautement qualifiés qui s'attaqueront à des cibles importantes, ce qui constitue une bonne publicité pour leur service. Ils peuvent avoir d'autres exigences, comme le fait de parler une certaine langue ou la capacité de commencer à utiliser le service et à générer des revenus de rançongiciel immédiatement.

D'autres vendront leurs services à presque tout le monde, à condition que le client soit en mesure de fournir un paiement ou de produire des revenus sous forme de rançons. Cela présente un léger risque pour les fournisseurs de RaaS, car inévitablement, certains clients peuvent être assez peu sophistiqués et se faire prendre.

Ces dernières années, de nombreux fournisseurs de RaaS sont devenus plus prudents quant aux secteurs qu'ils autorisent leurs clients à cibler. Par exemple, ils peuvent interdire les attaques contre les infrastructures critiques ou les installations médicales, car ces attaques peuvent avoir un impact négatif sur la santé d'une personne, voire causer sa mort. Ces cas extrêmes attirent indûment l'attention sur le marché du RaaS, et les fournisseurs de RaaS peuvent avoir des objections morales à l'idée d'avoir un impact sur la santé physique d'une personne (plutôt que sur son compte bancaire).

Quels sont les exemples d'attaques par rançongiciel-as-a-service ?

Les attaques qui utilisent le RaaS sont devenues courantes ces dernières années. Quelques exemples :

  • DarkSide est un groupe de rançongiciel qui vend du RaaS. L'attaque de 2021 Colonial Pipeline a été attribuée à DarkSide.
  • REvil est vendu en tant que RaaS. L'attaque par rançongiciel de 2021 contre le fournisseur informatique Kaseya a utilisé le rançongiciel REvil.
  • Le rançongiciel Dharma est vendu comme un service et a été utilisé dans des dizaines, voire des centaines, d'attaques depuis 2016.

RaaS réduit considérablement la barrière d'entrée de cette forme rentable de cybercriminalit�� : toute personne disposant d'un ordinateur et d'une connexion Internet peut mener une attaque par rançongiciel. Pour cette raison, les attaques RaaS continueront probablement à proliférer dans les années à venir.

Où les criminels achètent-ils des rançongiciels-as-a-service ?

Comme tout service cloud, les services RaaS sont achetés et accessibles sur Internet. RaaS est généralement distribué via des forums de logiciels malveillants sur le dark web. (Le « dark web »  est une partie d'Internet à laquelle on ne peut accéder qu'à l'aide d'un navigateur Tor, qui dissimule la localisation de l'utilisateur et son adresse IP).

Comment les fournisseurs de rançongiciels-as-a-service commercialisent-ils leurs services ?

RaaS est tout aussi compétitif que n'importe quel autre secteur, et de nombreux fournisseurs commercialisent leurs services de manière agressive. Les fournisseurs de RaaS ont des comptes Twitter, des sites Web, du contenu vidéo et d'autres actifs marketing. Ils mènent souvent des campagnes de marketing pour stimuler l'activité. La plupart des outils RaaS disposent également d'avis d'utilisateurs et de forums communautaires.

Comment se défendre contre les attaques de type « rançongiciel-as-a-service » ?

Un certain nombre de mesures de sécurité peuvent aider les organisations à se défendre à la fois contre les attaques de rançongiciel-as-a-service et les attaques de logiciels malveillants en général :

  • Formation à la sécurité des utilisateurs : la formation des employés, des sous-traitants et des autres utilisateurs à la reconnaissance des attaques de phishing et d'ingénierie sociale réduit la probabilité de réussite d'une attaque RaaS.
  • Sécurité du courrier électronique : de nombreuses attaques de rançongiciel commencent par une pièce jointe de courrier électronique infectée. La recherche de logiciels malveillants dans les courriels et le blocage des pièces jointes provenant de sources non fiables peuvent contribuer à éliminer ce vecteur d'attaque.
  • Sauvegarde fréquente des données : les rançongiciels rendent les organisations incapables d'accéder à leurs données ou de les utiliser. Mais dans de nombreux cas, une organisation peut restaurer ses données à partir d'une sauvegarde au lieu de payer la rançon pour les déchiffrer ou de reconstruire toute son infrastructure informatique à partir de zéro.

Pour en savoir plus sur la défense contre les attaques RaaS, voir. Comment empêcher les rançongiciels.

Service commercial