Rançongiciel-as-a-service (RaaS) permet à des attaquants qualifiés ou non de louer des outils de rançongiciel et de mener des attaques.
Cet article s'articule autour des points suivants :
Contenu associé
Rançongiciel
Comment prévenir les attaques par rançongiciel
Rançongiciel Ryuk
Rançongiciel Maze
Petya et NotPetya
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Rançongiciel-as-a-service (RaaS) est un modèle commercial pour les entreprises criminelles qui permet à quiconque de s'inscrire et d'utiliser des outils pour mener des attaques par rançongiciel. À l'instar d'autres modèles « as-a-service » tels que software-as-a-service (SaaS) ou platform-as-a-service (PaaS), les clients de RaaS louent des services de rançongiciel, au lieu de les posséder comme dans un modèle de distribution de logiciels traditionnel.
Un rançongiciel est un logiciel malveillant qui verrouille le système ou les fichiers d'une victime, généralement par le biais d'un chiffrement. La victime ne peut retrouver l'accès à ses données qu'après avoir payé une rançon aux parties à l'origine de l'attaque par rançongiciel. Les rançongiciels sont devenus une industrie majeure dans le monde criminel, représentant des milliards de dollars par an.
Alors que beaucoup s'imaginent que les personnes à l'origine de cyberattaques comme les rançongiciels sont des programmeurs hautement qualifiés, de nombreux attaquants n'écrivent pas leur propre code et ne savent peut-être même pas comment le faire. Les cybercriminels ayant des compétences en codage vendent ou louent souvent les exploits qu'ils développent au lieu de les utiliser eux-mêmes.
Les rançongiciels ne sont qu'un des secteurs de l'industrie de la cybercriminalité dont le modèle est « as-a-service ». Les attaquants peuvent également louer des outils DDoS, s'abonner à des listes d'informations d'identification volées, louer des botnets, ou louer des chevaux de Troie bancaires, entre autres services.
Les services RaaS utilisent un certain nombre de modèles de revenus différents. Les fournisseurs peuvent facturer un abonnement mensuel forfaitaire, prendre un pourcentage des bénéfices de leurs clients, utiliser un hybride de ces deux modèles ou facturer un droit de licence unique. Une fois qu'un client RaaS a créé un compte et effectué son premier paiement (généralement en bitcoins), il peut sélectionner le type de logiciel malveillant qu'il souhaite utiliser.
Une fois le paiement effectué, les attaquants commencent leur campagne de distribution du logiciel malveillant et d'infection des victimes. Le plus souvent, les attaquants de rançongiciels ont recours à des campagnes de phishing ou d'ingénierie sociale pour tenter d'inciter les utilisateurs à exécuter le logiciel malveillant. (Ces méthodes sont assez bon marché par rapport à l'achat d'un exploit zero-day ou d'un accès à une porte dérobée). Une fois le logiciel malveillant exécuté, l'ordinateur de la victime est chiffré et inutilisable, et l'attaquant affiche un message contenant des instructions sur l'endroit où envoyer la rançon.
Les fournisseurs de RaaS proposent souvent une assistance client 24 heures sur 24 et 7 jours sur 7 aux attaquants qui sont bloqués ou qui ne parviennent pas à faire fonctionner correctement leur logiciel malveillant. La plupart des fournisseurs disposent de forums communautaires où les clients peuvent poser des questions et échanger des idées. Beaucoup proposent également des guides détaillés sur la manière d'exécuter une attaque de rançongiciel avec leurs outils.
Certains fournisseurs de RaaS sont assez pointilleux quant à la clientèle à laquelle ils vendent leurs logiciels. Ils peuvent vouloir des clients hautement qualifiés qui s'attaqueront à des cibles importantes, ce qui constitue une bonne publicité pour leur service. Ils peuvent avoir d'autres exigences, comme le fait de parler une certaine langue ou la capacité de commencer à utiliser le service et à générer des revenus de rançongiciel immédiatement.
D'autres vendront leurs services à presque tout le monde, à condition que le client soit en mesure de fournir un paiement ou de produire des revenus sous forme de rançons. Cela présente un léger risque pour les fournisseurs de RaaS, car inévitablement, certains clients peuvent être assez peu sophistiqués et se faire prendre.
Ces dernières années, de nombreux fournisseurs de RaaS sont devenus plus prudents quant aux secteurs qu'ils autorisent leurs clients à cibler. Par exemple, ils peuvent interdire les attaques contre les infrastructures critiques ou les installations médicales, car ces attaques peuvent avoir un impact négatif sur la santé d'une personne, voire causer sa mort. Ces cas extrêmes attirent indûment l'attention sur le marché du RaaS, et les fournisseurs de RaaS peuvent avoir des objections morales à l'idée d'avoir un impact sur la santé physique d'une personne (plutôt que sur son compte bancaire).
Les attaques qui utilisent le RaaS sont devenues courantes ces dernières années. Quelques exemples :
RaaS réduit considérablement la barrière d'entrée de cette forme rentable de cybercriminalité : toute personne disposant d'un ordinateur et d'une connexion Internet peut mener une attaque par rançongiciel. Pour cette raison, les attaques RaaS continueront probablement à proliférer dans les années à venir.
Comme tout service cloud, les services RaaS sont achetés et accessibles sur Internet. RaaS est généralement distribué via des forums de logiciels malveillants sur le dark web. (Le « dark web » est une partie d'Internet à laquelle on ne peut accéder qu'à l'aide d'un navigateur Tor, qui dissimule la localisation de l'utilisateur et son adresse IP).
RaaS est tout aussi compétitif que n'importe quel autre secteur, et de nombreux fournisseurs commercialisent leurs services de manière agressive. Les fournisseurs de RaaS ont des comptes Twitter, des sites Web, du contenu vidéo et d'autres actifs marketing. Ils mènent souvent des campagnes de marketing pour stimuler l'activité. La plupart des outils RaaS disposent également d'avis d'utilisateurs et de forums communautaires.
Un certain nombre de mesures de sécurité peuvent aider les organisations à se défendre à la fois contre les attaques de rançongiciel-as-a-service et les attaques de logiciels malveillants en général :
Pour en savoir plus sur la défense contre les attaques RaaS, voir. Comment empêcher les rançongiciels.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité