Actualités de la sécurité

L'essor des ransomwares en tant que service

David Strom, 2 avril 2021

Le modèle RaaS signifie que presque tout le monde peut entrer sur le marché et tirer parti des prouesses de codage des autres.

Les ransomwares continuent d'être un fléau dans le paysage de la sécurité. En raison de la pandémie, ils ont retrouvé une nouvelle vie et une collection croissante de capacités qui rendent les opérateurs de logiciels malveillants plus redoutables.

 

Si l'utilisation du "ransomware as a service" ou, en abrégé, "RaaS" et les techniques d'extorsion ne sont pas nouvelles, elles se déployent plus souvent et de manière plus intelligente et ciblée que jamais. Cela a entraîné une augmentation du nombre total d'attaques de rançon et des paiements demandés.

Qu'est-ce qu'un ransomware-as-a-service (RaaS) ?

Le RaaS est une version criminelle du SaaS (Software-as-a-Service), la myriade de solutions logicielles hébergées dans le cloud et vendues par des fournisseurs légitimes aux particuliers et aux entreprises. Tout comme les applications SaaS, le RaaS est vendu sur un modèle d'abonnement basé sur le cloud à quiconque est en mesure de payer l'abonnement. Dans certains cas, il n'y a pas de frais d'abonnement ; de nombreux développeurs de RaaS utilisent des modèles "affiliés" dans lesquels le développeur collecte la totalité de l'argent de la rançon extorquée par les affiliés, prélève un certain pourcentage à titre de commission et reverse le reste. Les affiliés touchent des commissions, comme s'ils vendaient des livres sur Amazon ou de l'artisanat sur Etsy. En général, les commissions vont de 10 % à 40 % de tout paiement des rançons reçues. La plus grande différence avec le monde légal est qu'elles sont généralement versées en crypto-monnaies.

Si la complexité des applications RaaS varie, elles sont généralement conçues pour être très faciles à utiliser. Elles sont déployées à l'aide de portails en ligne dotés d'interfaces utilisateur simples, et aucun codage n'est nécessaire. De nombreux "vendeurs" de RaaS entreprenants proposent même un service clientèle en ligne, comme le ferait un développeur SaaS, pour aider les abonnés à lancer leurs campagnes de ransomware. 

Le modèle RaaS signifie que presque tout le monde peut entrer sur ce marché et tirer parti des prouesses de codage des autres. Les affiliés n'ont pas à se soucier de la construction et de la maintenance d'une infrastructure de logiciels malveillants - chaque affilié reçoit un code d'identification personnalisé, similaire à la façon dont les programmes légitimes fonctionnent. Cela garantit que l'affilié est crédité et perçoit les commissions appropriées pour ses attaques.

En résumé, les différents groupes RaaS peuvent être classés en trois catégories :

- Les équipes émergentes qui viennent de se lancer et n'ont que quelques incidents notables. Il s'agit notamment d'Exorcist, Lolkek et Rush.

- Les centres de pouvoir en plein essor qui ont réussi des attaques et tiennent des blogs qui font la publicité de leurs services et font honte à leurs victimes. Ce groupe comprend Darkside, Thanos et Clop.

- Les organisations de premier plan qui ont mené de nombreuses attaques très médiatisées et ont été ciblées par les forces de l'ordre, comme DoppelPaymer, Revil et Ryuk.


Un regard détaillé sur le Darkside

Le groupe Darkside mérite une attention particulière. Il présente trois caractéristiques importantes :

- Un ciblage très fin des victimes, qui recherche les sources de données les plus riches à extorquer.

- Une approche plus "corporate" dans ses opérations, y compris une opération d'affiliation bien développée (paiement d'environ 25 % de commissions d'affiliation).

- La livraison d'un ransomware personnalisé pour chaque cible et un travail d'investigation important avant de sélectionner les cibles.

Darkside affirme qu'il ne cible pas les hôpitaux ou les écoles, mais cela n'a pas toujours été le cas. Ils évitent également les cibles de langue russe et ont recruté des programmeurs russophones.

Darkside a annoncé sa création grâce à un "communiqué de presse" publié sur Tor à l'été 2020. Ce stratagème est assez astucieux car les communiqués ont tendance à attirer la couverture de la presse informatique et peuvent également être utilisés pour vanter la provenance de toute donnée volée. (Les groupes Revil utilisent également cette tactique.) Bien sûr, accepter ce qu'ils promettent n'est probablement pas une bonne idée.
Le communiqué n'est qu'une partie de l'apparence "corporate" de Darkside - ils fournissent également une assistance par chat à leurs affiliés et créent des mécanismes de stockage de données personnalisés pour cacher les données volées de leurs cibles. Darkside a également développé des exploits basés sur Windows et Linux. La compromission initiale des PC Windows entraîne l'installation d'un script PowerShell qui supprime immédiatement les copies d'ombre des volumes et prépare divers référentiels de bases de données et de courriers électroniques en vue de leur chiffrement et de leur copie hors site. Le malware pénètre généralement dans une organisation par le biais d'un compte tiers compromis et tente d'accéder à une session de bureau virtuel.

Darkside a également essayé de faire des dons à deux organisations caritatives l'été dernier, mais ces dons sont généralement retournés et ne sont pas légaux dans la plupart des juridictions, car ils reposent sur des fonds volés. En parlant d'argent volé, un rapport indique que Darkside utilise des installations d'hébergement iraniennes pour son réseau criminel, où sont hébergés les serveurs de commande et de contrôle et les données volées. Cela permet de mettre le réseau à l'abri des autorités des États-Unis et de l'Union européenne, susceptibles de tenter de mettre un terme à leurs activités.

Le groupe a connu un pic d'activité entre octobre et décembre 2020, lorsque le nombre de demandes d'échantillons de Darkside a plus que quadruplé. Les demandes de rançon passées ont varié de 200 000 à 2 millions de dollars, en fonction de la taille des organisations compromises.

Cependant, elles s'accélèrent à nouveau : En mars 2021, le fournisseur de services gérés CompuCom a été victime d'une attaque du Darkside. L'entreprise a finalement révélé dans une FAQ publiée à l'intention de ses clients que Darkside était l'origine suspectée.

Si vous êtes compromis par Darkside, préparez-vous comme vous le feriez contre d'autres formes de ransomware : Assurez-vous que vos sauvegardes sont intactes et exactes, intensifiez la sensibilisation et l'éducation au phishing, et verrouillez vos comptes à l'aide d'un système MFA.


NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.