Qu’est-ce qu’un Ransomware as a Service (RaaS) ?
À propos des Ransomwares as a Service (RaaS)
Le Ransomware as a Service (RaaS) est un modèle d’activités criminelles dans lequel les acteurs malveillants procurent des outils et des infrastructures de ransomware à d’autres individus ou groupes, appelés affiliés, qui souhaitent mener des attaques de ransomware à des fins lucratives. Généralement, le RAAS est fourni via un service basé sur abonnement, un peu comme une plateforme SaaS (Software as a Service) légitime. Le RAAS permet aux cybercriminels inexpérimentés de lancer rapidement et facilement des campagnes de ransomware à des fins lucratives.
En quoi un RAAS est-il différent d’un ransomware traditionnel ?
Contrairement aux ransomwares traditionnels, les RAAS impliquent la distribution de packages logiciels prêts à l’emploi conçus pour lancer une attaque par ransomware. Ces packages sont mis à la disposition des affiliés qui paient pour participer au programme et recevoir des versions mises à jour du ransomware. La transition vers un modèle de service a transformé le ransomware, donnant à ses développeurs la possibilité de se concentrer sur les fonctionnalités, et laissant la partie plus délicate consistant à l’accéder et à déployer le malware à leurs clients, les affiliés. Ces acteurs malveillants peuvent utiliser un large éventail de styles d’attaque, de logiciels et d’expertises pour mener à bien leur tâche.
Si l’exécution d’une attaque par RaaS ne nécessite guère de compétences techniques de la part des affiliés, les outils de ransomware disponibles aujourd’hui sont néanmoins de plus en plus sophistiqués. Beaucoup d’entre eux sont conçus et utilisés par des courtiers d’accès initial (ou IAB de l’anglais Initial Access Brokers), qui ont passé des années à perfectionner leurs techniques cybercriminelles. Pour ne rien arranger, désormais, grâce au dark web, toute personne munie d’une carte de crédit peut s’en procurer un.
Voici quelques différences entre les RaaS et les ransomwares traditionnels :
1. Distinction concepteur/utilisateur
Dans les attaques de ransomwares traditionnelles, les attaquants développent eux-mêmes le programme puis le distribuent pour infecter les systèmes et exiger des rançons. Avec le modèle RaaS, en revanche, des cybercriminels très compétents peuvent distribuer leurs outils à des acteurs moins qualifiés et disposant de ressources financières plus importantes, afin qu’ils puissent mener des attaques par ransomware sans avoir à créer eux-mêmes les malwares. Aujourd’hui, il est plus facile et moins cher que jamais pour les acteurs malveillants d’obtenir des packages de ransomware auprès de fournisseurs RAAS afin de lancer des attaques. Pour les affiliés, le prix à payer est tout simplement celui d’une exploitation d’un programme de ransomware efficace.
2. Accessibilité
Le développement, la maintenance et la distribution d’un ransomware requièrent des compétences techniques. Depuis l’avènement du RAAS, cependant, la barrière à l’entrée est abaissée pour les cybercriminels, car il offre des paquets de ransomware pré-construits et conviviaux. Certains fournisseurs proposent même une assistance à la clientèle pour leurs affiliés, tout comme un service SaaS classique.
3. Distribution et portée
La capacité des auteurs de ransomwares traditionnels à infecter les systèmes est limitée. Cependant, les fournisseurs de RAAS peuvent attirer plusieurs affiliés pour distribuer leur ransomware plus largement. Ce modèle distribué se traduit par une campagne d’attaque plus étendue.
4. Modèle commercial de partage des revenus
Les fournisseurs de RAAS proposent généralement un modèle de partage des revenus à leurs affiliés, prenant un pourcentage des paiements de rançon obtenus par les affiliés. Les fournisseurs de RaaS, qui proposent une part des bénéfices, sont ainsi fortement incités à développer des ransomwares toujours plus efficaces et plus évasifs afin de gager un maximum de revenus. Après tout, ce sont leurs affiliés qui se chargent d’exécuter les campagnes.
5. Innovation et variantes
Avec une base plus large d’attaquants utilisant leur ransomware, les fournisseurs de RAAS reçoivent souvent des commentaires de leurs affiliés sur l’efficacité du malware et sur tout problème de détection ou de pépins. Tout comme une société de logiciels légale, ce retour d’informations conduit à une innovation plus rapide et au développement de nouvelles variantes de ransomware qui s’améliorent de version en version.
6. Anonymat
Le RAAS peut fournir un niveau d’anonymat pour les auteurs réels du ransomware. Les affiliés sont responsables de la distribution des logiciels malveillants et de l’interaction directe avec les victimes, ce qui les expose à un plus grand risque d’être identifiés.
Il est crucial de rester informé des derniers développements des variantes RAAS et de vous assurer que vos défenses de cybersécurité sont suffisamment modernes pour vous protéger contre ces menaces.
Quel est le principe du Ransomware as a Service ?
Les opérateurs de RAAS conçoivent et maintiennent le logiciel de ransomware, gèrent son infrastructure de déploiement, ses mécanismes de chiffrement et le traitement des paiements. Les affiliés souscrivent au service et, en échange d’une partie des bénéfices, accèdent à la boîte à outils et au panneau de contrôle du ransomware. Ces affiliés sont alors responsables de la distribution du ransomware via divers vecteurs d’attaque, tels que les emails de phishing ou les kits d’exploitation. Parfois, les affiliés travailleront également par l’intermédiaire d’un courtier d’accès initial (IAB) pour obtenir un accès non autorisé à une entreprise ou un individu compromis. Essentiellement, chaque aspect important d’une attaque de ransomware est externalisé, de sorte que l’affilié n’a plus qu’à exécuter le programme.
Qu’est-ce qu’un courtier d’accès initial (IAB) ?
Les courtiers d’accès initial (IAB) sont des cybercriminels qui commercialisent l’accès aux réseaux et données d’entreprise compromis. Les IAB possèdent une formation hautement technique et disposent d’un ensemble de compétences très spécialisées en matière de cybersécurité, généralement développées au cours d’années de piratage informatique. Ces compétences leur permettent d’obtenir un accès non autorisé à des réseaux sécurisés.
Les vecteurs d’attaque courants d’un IAB incluent l’ingénierie sociale, les attaques de phishing, les vulnérabilités et les exploits, ainsi que les prises de contrôle de compte. Une fois que les IAB ont obtenu l’accès, ils cherchent à le vendre à d’autres criminels dans des forums en ligne sur le dark web. Leurs acheteurs sont généralement des groupes de concepteurs de ransomwares cherchant à accéder à des réseaux et des systèmes pour développer leurs programmes.
Qui sont les principales cibles des attaques de RAAS ?
Les attaques de RAAS ciblent généralement un large éventail de victimes, y compris des particuliers, des petites et grandes entreprises, des organisations gouvernementales et d’autres entités disposant de données précieuses. Les cybercriminels visent à maximiser les profits en infectant autant de systèmes vulnérables que possible.
Voici comment ces attaquants choisissent généralement leurs victimes :
- Secteurs ciblés : les attaquants RAAS se concentrent souvent sur les industries les plus susceptibles de payer une rançon pour récupérer l’accès aux données ou aux systèmes critiques. Des secteurs tels que la santé, la finance, le gouvernement et les grandes entreprises multinationales sont fréquemment ciblés, car ils sont susceptibles de payer des sommes plus importantes et qu’ils détiennent des données particulièrement sensibles. Les affiliés de RAAS peuvent également détenir des informations sur des industries spécifiques ou des accès à des réseaux compromis, qu’ils utilisent pour cibler leurs victimes.
- Emplacement des cibles : les attaquants ont tendance à cibler les victimes dans des régions géographiques spécifiques, en fonction de divers facteurs. Si certaines régions sont plus ciblées en raison de la forte concentration de systèmes vulnérables ou de données précieuses, d’autres sont davantage prises pour cibles du fait d’un niveau de sensibilisation et de préparation moins élevé en matière de cybersécurité.
- Contrôles des vulnérabilités : les cybercriminels utilisent des outils automatisés pour analyser Internet à la recherche de systèmes vulnérables présentant des failles logicielles, des applications non corrigées ou des configurations erronées. Les attaquants exploitent ces vulnérabilités pour obtenir un accès non autorisé et déployer des ransomwares.
- Données des IAB : les cybercriminels peuvent acheter des données sur les victimes potentielles auprès de sources opérant sur le marché noir telles que les IAB. Ces données peuvent inclure des listes d’emails, des renseignements sur les employés ou des informations sur les vulnérabilités des organisations ciblées.
- Potentiel de profit : les attaquants évaluent le potentiel d’une attaque réussie et la probabilité que la victime paie la rançon. Les objectifs à forte valeur ajoutée avec une plus grande capacité de paiement sont plus attrayants pour les opérateurs de RAAS.
- Facteurs socio-économiques et politiques : dans certains cas, les attaquants peuvent être animés par des raisons économiques ou politiques. Ils peuvent cibler des organisations ou des institutions susceptibles de perturber sensiblement le fonctionnement de gouvernements ou les entreprises ou de les mettre en difficulté. Il est important de noter que ce type de variantes de RaaS a été utilisé par des cybercriminels opérant pour le compte d’États-nations dans le but de créer de l’instabilité et un climat de panique. Ainsi, la variante Darkside RAAS a été utilisée pour la première fois lors d’une cyberattaque importante contre la compagnie Colonial Pipeline basée en Géorgie. L’attaque a entraîné une interruption de l’approvisionnement en carburant le long de la côte est des États-Unis
- Antécédents : certains opérateurs RaaS tiennent un registre des victimes qui ont payé une rançon par le passé. Ces criminels peuvent cibler ces organisations une nouvelle fois, pensant qu’elles seront susceptibles de payer à nouveau pour éviter la divulgation publique de leur attaque précédente.
Quelles sont les variantes de RAAS les plus populaires ?
Comme le paysage des menaces évolue constamment, de nombreuses variantes de RaaS se succèdent. Quelques exemples bien connus de RAAS incluent Revil (Sodinokibi), Darkside, Ryuk et GandCrab. De nouvelles variantes de RAAS ont tendance à émerger au fil du temps. Une variante connue sous le nom de Dharma ou CrySis se décline en de nombreuses versions en raison de la vente et des modifications constantes de son code source à de nombreux développeurs de logiciels malveillants. En mars 2020, une collection de code source pour une variante du Dharma a été mise en vente sur des forums criminels en langue russe pour 2 000 dollars.
Comment les services MDR (Managed Detection and Response) peuvent protéger mon entreprise contre les attaques RAAS ?
Il est important de noter que les tactiques et techniques utilisées par les cybercriminels évoluent constamment. Pour vous assurer que votre organisation utilise les dernières technologies pour se défendre contre les attaques de ransomware, le recours à un modèle de Cybersécurité as a Service est fortement recommandé. Après tout, les attaquants exploitent ce même modèle de prestation de services pour livrer des logiciels malveillants à leurs cibles. Ne pensez-vous pas que votre organisation aurait tout à gagner à utiliser la même méthode pour se défendre contre ces attaques ?
La stratégie MDR (Managed Detection and Response) est la plus efficace contre les attaques par Ransomware as a Service. Elle vous donne accès instantanément à un centre d’opérations de sécurité (SOC) de classe mondiale, composé de professionnels de la cybersécurité, de spécialistes des données et d’experts en renseignements sur les menaces parmi les plus expérimentés. MDR est un service complet de cybersécurité fourni par un partenaire tiers pour aider les organisations à atténuer les ransomwares.
Voici comment les services MDR peuvent vous protéger contre les attaques RAAS :
1. Surveillance des menaces en temps réel
Les solutions MDR surveillent en permanence et en temps réel votre réseau et vos terminaux pour détecter les activités suspectes et les signes d’attaques potentielles de ransomware. Des techniques et des outils avancés de détection des menaces sont utilisés au sein du SOC pour identifier tout modèle ou comportement inhabituel qui pourrait indiquer une activité de ransomware.
2. Chasse aux menaces menée par des experts
Les équipes MDR sont compétentes en matière de chasses aux menaces proactives. Leurs membres recherchent des traces d’activité de ransomware qui auraient pu contourner les mesures de sécurité traditionnelles. Cela implique l’analyse des journaux, du trafic réseau et d’autres données afin de détecter les menaces cachées avant qu’elles ne causent des dommages importants.
3. Réponse aux incidents rapide
En cas d’attaque de ransomware, chaque seconde est comptée. Les fournisseurs de solutions MDR disposent d’équipes de réponse aux incidents capables d’évaluer rapidement la situation, de contenir la propagation des ransomwares et de développer une stratégie pour éliminer efficacement la menace de vos systèmes.
4. Analyse du comportement de l’utilisateur
Les attaques de Ransomware as a Service emploient souvent des techniques sophistiquées pour échapper aux outils de détection. Les services MDR utilisent l’analyse du comportement et la détection des anomalies pour identifier les comportements malveillants, même si le ransomware est inconnu ou nouvellement conçu.
5. Sécurité Endpoint
Les services MDR incluent une protection avancée des endpoints qui va au-delà des logiciels antivirus traditionnels. Ils utilisent des outils de sécurité Endpoint de nouvelle génération pour détecter et bloquer les ransomwares avant leur exécution sur les terminaux.
6. Partage de renseignements sur les menaces
Les fournisseurs de services MDR ont accès à de nombreuses sources de renseignements sur les menaces, ce qui leur permet de se tenir au courant des dernières tendances et tactiques en matière de ransomware. Ces informations leur permettent de lutter de manière proactive contre les menaces émergentes.
7. Gestion des correctifs
Les services MDR permettent de s’assurer que vos systèmes sont dotés des correctifs et des mises à jour de sécurité les plus récents. Dans la mesure où les logiciels obsolètes peuvent être vulnérables aux attaques de ransomware, il est essentiel de mettre en place une gestion appropriée des correctifs, pour minimiser ces risques.
8. Sensibilisation et formation des utilisateurs
Les services MDR comprennent souvent la formation des employés sur les risques liés aux ransomwares et les meilleures pratiques pour éviter d’être victimes d’une attaque de phishing ou d’autres techniques d’ingénierie sociale couramment utilisées par les cybercriminels. Les formations comportant des sessions de simulation de phishing sont un exemple de ce qu’un fournisseur MDR peut offrir pour renforcer votre talon d’Achille face aux attaques RAAS : vos utilisateurs finaux.
9. Sauvegarde et récupération des données
Les fournisseurs de MDR font souvent valoir l’importance de sauvegardes régulières des données et aident à mettre en place des processus de sauvegarde et de récupération robustes. En effet, si une attaque de ransomware aboutit, le fait de disposer de sauvegardes fiables permet de minimiser l’impact et d’éviter de devoir payer une rançon.
10. Analyse post-incident
Les fournisseurs de services MDR effectuent des analyses post-incident approfondies à la suite d’une attaque de ransomware, dans l’objectif d’identifier les vulnérabilités et les faiblesses de votre infrastructure de sécurité. Cette démarche contribue à améliorer votre résilience contre de potentielles attaques similaires.
En combinant ces éléments, les services MDR peuvent renforcer considérablement la capacité de votre entreprise à se défendre contre les attaques de Ransomware as a Service, mais aussi à atténuer les dommages potentiels en cas d’incident. Ils offrent une approche proactive et globale de la cybersécurité qui complète les mesures de sécurité traditionnelles et permettent aux organisations de garder une longueur d’avance sur les cybercriminels.
L’avis de Sophos sur les Ransomwares as a Service
Les attaques RaaS mobilisent souvent de nombreuses techniques avancées associées à un piratage manuel en temps réel. Pour réduire le risque de devenir victime de ces pratiques, il est nécessaire de mettre en place des mesures de cybersécurité avancées permettant de surveiller et de sécuriser l’ensemble de votre surface d’attaque. Les experts de services MDR (Managed Detection and Response) de Sophos surveillent, détectent et neutralisent les menaces RAAS plus rapidement que quiconque. Pour découvrir comment notre équipe a détecté de nombreuses variantes de RaaS au fil des ans, visitez le Centre Sophos de renseignements sur les ransomwares. Vous pouvez aussi contactez un expert Sophos MDR.
Rapport Sophos 2024 sur l’état des ransomwares
Quelle est la probabilité que vous soyez touché par un ransomware ? Combien de vos ordinateurs seraient affectés ? Vous trouverez ces réponses et bien d’autres dans le rapport Sophos ‘L’état des ransomwares 2024’.

Sujet connexe : Qu’est-ce qu’une attaque BEC (Business Email Compromise) ?