Rançongiciel en tant que service

Le rançongiciel en tant que service (de l'anglais Ransomware as a service, ou RaaS) est un modèle commercial de cybercriminalité dans lequel les opérateurs de rançongiciels écrivent des logiciels malveillants et les affiliés paient pour lancer des attaques à l'aide de ces logiciels^[1]. Les affiliés n'ont pas besoin d'avoir leurs propres compétences techniques mais s'appuient sur les compétences techniques des opérateurs^[2].

Le « rançongiciel en tant que service », ou « rançongiciel en location », est une déclinaison cybercriminelle du modèle commercial « software as a service »^[3].

Modèles de revenus

Les affiliés peuvent choisir parmi différents modèles de revenus, y compris les abonnements mensuels, les programmes d'affiliation, les frais de licence uniques et le pur partage des bénéfices. Les opérateurs RaaS les plus avancés fournissent des portails qui permettent à leurs abonnés de suivre l'état des infections, des paiements et des fichiers chiffrés. Ce niveau de support et de fonctionnalité est similaire aux produits SaaS légitimes^[3].

Le marché du RaaS est très concurrentiel, les opérateurs menant^[4] des campagnes de marketing et développant des sites Web imitant des entreprises légitimes. Le chiffre d'affaires mondial des attaques de rançongiciel était d'environ 20 milliards de dollars en 2020, soulignant le succès financier important du RaaS^[3].

Microsoft Threat Intelligence Center (MSTIC) considère le RaaS comme différent des formes précédentes de rançongiciel car il n'y a plus de lien étroit entre les outils, le vecteur d'entrée initial et les choix de charge utile^[5]. Ils les considèrent comme ayant une double menace - à la fois chiffrer les données, les exfiltrer et menacer de les publier^[5].

Méthodes d'extorsion

Les auteurs de menaces par rançongiciel utilisent différentes techniques pour extorquer de l'argent aux victimes. Voici quelques-unes des principales méthodes :

Double extorsion

Dans une attaque par rançongiciel à double extorsion, les attaquants chiffrent d'abord les données de la victime. Ils menacent ensuite de publier des données exfiltrées si la rançon n'est pas payée. Cela ajoute une pression supplémentaire sur la victime pour payer la rançon afin d'éviter la fuite de données sensibles^[4].

Selon une analyse de la société de cybersécurité Zscaler, 19 familles de rançongiciels adoptent des approches de double ou multi-extorsion en 2021. En 2022, ce nombre augmente à 44 familles utilisant cette technique. Des groupes comme Babuk et SnapMC sont les pionniers du rançongiciel à double extorsion. D'autres acteurs comme RansomHouse, BianLian et Karakurt l'adoptent ensuite également^[4].

Extorsion multiple

L'extorsion multiple est une variante de la double extorsion. En plus de chiffrer les données et de menacer de les divulguer, les menaces lancent également des attaques DDoS contre le site Web ou l'infrastructure de la victime. Cela ajoute un autre élément pour faire pression sur les victimes afin qu'elles paient^[4].

Extorsion pure

Dans une attaque par rançongiciel d'« extorsion pure » ou « sans chiffrement », les menaces exfiltrent des données sensibles mais ne chiffrent aucun fichier. Ils menacent de publier les données volées en ligne si la rançon n'est pas payée. Cette approche permet aux acteurs de la menace de sauter le travail technique complexe de développement des chiffreurs^[4].

Des groupes comme LAPSUS$ et Clop utilisent des techniques d'extorsion pure dans des attaques très médiatisées. Comme les systèmes des victimes ne sont pas verrouillés, cette méthode tend à provoquer moins de perturbations et attire moins l'attention des autorités. Cependant, l'impact financier sur les organisations ciblées peut toujours être sévère^[4].

Acteurs principaux

Plusieurs exemples bien connus de kits RaaS incluent Hive, DarkSide, REvil (également connu sous le nom de Sodinokibi), Dharma et LockBit. Ces opérateurs évoluent continuellement et créent de nouvelles itérations de rançongiciels pour maximiser leur impact^[1].

Des exemples de kits RaaS incluent Locky, Goliath, Shark, Stampado, Jokeroo et Encryptor^[1].

Hive a attiré l'attention en avril 2022 en ciblant les clients Exchange Server de Microsoft. Le département américain de la justice a saisi deux serveurs appartenant à Hive, perturbant leurs opérations^[3].

DarkSide ciblait principalement les machines Windows, mais s'est étendu aux systèmes Linux. Ils ont acquis une notoriété lors de l'incident du Colonial Pipeline, où l'organisation a versé près de 5 millions de dollars à une filiale de DarkSide^[3].

REvil, associé à PINCHY SPIDER, s'est fait connaître pour exiger l'une des plus grosses rançons jamais enregistrées : 10 millions de dollars^[3].

Références

1. Baker, « Ransomware as a Service (RaaS) Explained How It Works & Examples », CrowdStrike, 30 janvier 2023 (consulté le 11 février 2023)
2. Palmer, « Ransomware as a service is the new big problem for business », ZDnet, 4 mars 2021 (consulté le 11 février 2023)
3. (en) « What is Ransomware as a Service (RaaS)? - CrowdStrike », crowdstrike.com (consulté le 10 juillet 2023)
4. (en) Ross Kelly published, « Encryption-less ransomware: Warning issued over emerging attack method for threat actors », sur ITPro, 29 juin 2023 (consulté le 28 juillet 2023)
5. « Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself », Microsoft Threat Intelligence Centre, 9 mai 2022 (consulté le 11 février 2023)

Voir aussi

• Clop (cybergang)
• LockBit
• BlackCat (rançongiciel)
• Courtier d'accès initial

•   Portail de la sécurité informatique
•   Portail de la criminologie