Malware - Ransomware

Ransomware-as-a-Service (RaaS) : une activité illicite qui a désormais pignon sur rue

Adrien Gendre

19/03/2020

4 min

En 2019, les ransomwares ont coûté aux entreprises du monde entier la modique somme de 11,5 milliards de dollars. Les MSP ont été particulièrement touchés : les attaques ont en effet concerné leurs clients les plus importants, notamment des agences gouvernementales, le monde de la santé et des acteurs d’autres services stratégiques. 

D’après Datto, 59 % des MSP ont signalé des attaques par ransomware ayant ciblé leurs clients au cours du premier semestre 2019. Le montant moyen de la rançon demandée a augmenté de 37 % et le coût du temps d’arrêt (5 900 $) est 23 fois plus élevé que la rançon moyenne exigée en 2018.

Comme si ces mauvais chiffres ne suffisaient pas, le Ransomware-as-a-Service (RaaS) connaît un succès fulgurant. Et pour cause : pour environ 50 $, n’importe quel hacker en herbe peut souscrire un abonnement RaaS lui permettant d’attaquer les entreprises de son choix.

Qu’est-ce que le RaaS ?

Basé sur le principe du SaaS, le RaaS se présente comme un abonnement incluant tout ce dont un hacker a besoin pour lancer une attaque par ransomware. Un abonnement RaaS classique coûte environ 50 $ et inclut le code d’un ransomware, ainsi qu’une clé de déchiffrement. Toutefois, les kits proposés sont plus ou moins fournis. Les offres les plus sophistiquées comprennent une assistance client et des tableaux de bord grâce auxquels les hackers peuvent suivre leurs victimes, notamment le statut des infections et des paiements des rançons.

Imaginé par des organisations cybercriminelles, le RaaS simplifie le développement et l’exécution des ransomwares. Il permet même aux hackers les moins expérimentés de s’y essayer. Certaines organisations permettent d’utiliser leur produit moyennant un abonnement mensuel, quand d’autres optent pour une commission pouvant atteindre 70 % sur les rançons payées.

Comme les entreprises spécialisées dans le SaaS, les développeurs RaaS publient régulièrement de nouvelles versions de leurs logiciels pour leurs clients et affiliés. Leurs sites Web, hébergés sur le dark Web, sont tout aussi sophistiqués et efficaces que les sites de e-commerce. Comme les abonnements SaaS, de nombreux modèles d’abonnement RaaS proposent plusieurs niveaux (bronze, silver et gold), dont les plus élevés donnent accès à des fonctionnalités et une assistance plus intéressantes.

Organisations RaaS

Parmi les développeurs RaaS identifiés sur le dark Web, on peut citer RainMaker labs, GandCrab, Sodinokibi, et plus récemment, Jokeroo. RainMaker est à l’origine du ransomware Philadelphia, qui a fait les gros titres en 2017. Bien que l’offre RaaS Philadelphia ait été considérée comme bien moins évoluée que ses concurrentes par certains membres de la communauté informatique, elle était bien présentée, et s’accompagnait d’une vidéo de qualité.

Le groupe ayant créé le ransomware GandCrab affirme quant à lui avoir soutiré 2 milliards de dollars à ses victimes un peu partout dans le monde. Dans un rare moment de compassion, un de ses développeurs a publié en 2019 une clé de chiffrement destinée à des victimes syriennes ayant évoqué publiquement le traumatisme que représentait la perte de l’accès aux photos de leurs enfants décédés. Un outil de déchiffrement a pu ensuite rapidement être créé par des chercheurs en sécurité. Depuis, GandCrab ne fait plus parler de lui.

D’après Bleeping Computer, l’organisation disposait de 392 affiliés au sommet de son activité. Bien que le groupe ait disparu en octobre 2019, il est probable qu’il se soit reformé pour créer Sodinokibi, le ransomware à l’origine de quelques-unes des plus grandes attaques de 2019. Les chercheurs ont en effet noté des similarités frappantes entre GandCrab et Sodinokibi. Toutefois, des différences dans la personnalité des développeurs des deux ransomwares suggèrent un changement dans la direction du groupe.

Sodinokibi dispose d’un modèle RaaS bien supérieur à GandCrab en matière d’organisation et de technicité. Il est ainsi distribué et personnalisé en fonction des besoins propres de chacun de ses dizaines d’affiliés. Dans un article de Bank Info Security publié en 2019, un représentant de l’entreprise de sécurité Coveware, basée dans le Connecticut, affirme que certains des affiliés étaient particulièrement expérimentés dans l’attaque des MSP et d’autres prestataires de services informatiques. Sodinokibi a en effet touché de nombreux MSP en 2019, notamment Synoptec, PercSoft, CyrusOne et LogicalNet.

L’organisation Jokeroo a été repérée pour la première fois en mars 2019, lorsqu’elle a elle-même annoncé sa présence sur Twitter. Jokeroo propose plusieurs niveaux d’abonnement, ainsi qu’une interface efficace proposant une liste des victimes et des rançons, ainsi qu’un outil permettant de créer des demandes de rançon personnalisées.

Déploiement de packages RaaS

Les opérateurs RaaS savent que pour attirer davantage de clients, ils doivent proposer un produit simple d’utilisation. Sodinokibi est certes un malware très évolué, mais comme la plupart de ces homologues, il est possible de le diffuser via un simple email.

Le phishing reste la méthode de remise la plus utilisée pour tous les types de ransomwares et constitue le vecteur de 67 % des attaques. De récentes attaques de ransomwares attribuées à des emails de phishing ont notamment touché La Nouvelle-Orléans, en Louisiane, et Durham, en Caroline du Nord. Les deux villes ont d’ailleurs vu toutes leurs opérations bloquées, notamment les centres de gestion des appels urgents et les casernes de pompiers.

La création et l’envoi d’emails de phishing ne demandent pas de compétences particulières, et les méthodes utilisées pour tromper les filtres de messagerie ne cessent d’évoluer. De plus, les débutants peuvent compter sur le soutien des organisations criminelles de phishing qui proposent leurs propres services SaaS.

Le Phishing-as-a-Service (PhaaS) constitue, comme le RaaS, une solution de hacking tout-en-un. Un kit de phishing classique inclut des emails de phishing, des pages Web de phishing, des listes d’emails et même des outils permettant d’éviter la détection. Ensemble, RaaS et PhaaS offrent aux hackers tous les outils dont ils ont besoin pour lancer une attaque.

Se prémunir des ransomwares

La disponibilité du RaaS et du PhaaS ouvre un nombre illimité d’opportunités pour les hackers peu ou pas expérimentés. De plus, en attaquant les MSP, ils peuvent multiplier les cibles en une seule opération. Pour protéger votre entreprise, instaurez les mesures suivantes :

  • Sauvegardes : effectuez des sauvegardes régulières et stockez-les sur un appareil distinct pour vous assurer que les hackers ne puissent pas accéder à vos fichiers.
  • Mises à jour : mettez à jour régulièrement tous les logiciels et installez les correctifs proposés pour vous protéger des vulnérabilités système connues et inconnues.
  • Protection contre le phishing et les ransomwares : investissez dans une solution de protection contre le phishing de pointe, capable de détecter et bloquer les emails de phishing au moment de la remise et du clic.
  • Formation des utilisateurs : proposez une formation de sensibilisation au phishing pour apprendre à vos utilisateurs à détecter les indices du phishing, ainsi qu’une formation contextuelle pour renforcer ces acquis au moment du clic ou de la réponse à un email de phishing.