Ransomware : est-il possible de mettre un terme à un modèle économique bien établi ?

La protection des données sur le web constitue une préoccupation grandissante des entreprises et des particuliers. En effet, dans un contexte de cybercriminalité en constante mutation, les entreprises doivent s’adapter rapidement pour répondre aux impératifs de sécurité. 

Historiquement, l’email de phishing et les malwares (logiciels malveillants traditionnels) étaient les principales menaces auxquelles les entreprises devaient faire face. Les ransomwares sont un peu plus récents. Leur mode opératoire étant un peu différent, ils ne se contentent pas d’infiltrer l’ordinateur ou de corrompre l’espace de stockage, mais ils volent les fichiers en vue de demander une rançon contre la restitution des données. En se popularisant, le ransomware est devenu un véritable objet commercial vendu par les cybercriminels qui le rendent désormais facilement accessible grâce au RaaS (Ransomware as a Service).

Qu’est-ce que le ransomware as a service et comment fonctionne un opérateur RaaS ?

Un rançongiciel est un logiciel malveillant (malware), généralement envoyé par phishing, capable d’infecter un ordinateur pour rendre inutilisable les fichiers qui s’y trouvent par le biais du chiffrement. Une fois ces données retenues en otage, une demande de rançon est envoyée à l’entreprise victime qui doit payer les cybercriminels pour obtenir la clé de déchiffrement lui permettant de retrouver ses informations. 

Les attaques par ransomware sur le web sont devenues une activité majeure de la cybercriminalité et représentent aujourd’hui des milliards de dollars. Une telle manne financière a attiré des hackers moins compétents, sans aptitudes techniques avancées en codage et en sécurité réseau. Toutefois, la création de logiciels malveillants requiert des connaissances approfondies et trouve dans cette activité illicite un nouveau marché.

Dès lors, le modèle économique du ransomware as a service se construit naturellement : la vente ou la location d’un logiciel malveillant à des personnes qui ne sont pas en capacité de réaliser elles-mêmes ce type d’attaque. Les opérateurs RaaS sont nés, et avec eux des outils clés en main disponibles à l’achat, principalement sur le dark web. Moins dangereux que d’initier une demande de rançon et surtout très rémunérateur, ce nouveau modèle économique s’accroît et donne naissance à des produits sophistiqués, présentés comme des suites logicielles traditionnelles. Disponible avec un abonnement mensuel, le ransomware as a service calque à l’identique son fonctionnement sur celui du software as a service. Les kits RaaS embarquent avec eux les options classiques de la distribution de logiciel : assistance technique, forums d’utilisateurs, avis utilisateurs, niveau d’abonnement premium…

DarkSide et Dharma, pour ne citer qu’eux, sont parmi les fournisseurs de kits RaaS les plus connus du dark web. Le logiciel malveillant Philadelphia, distribué par RainMaker, a été une des solutions les plus vendues du marché.

Les dernières tendances du ransomware as a service

En générant des chiffres d’affaires de plusieurs millions de dollars, les organisations criminelles à l’origine de ces malwares disposent de fonds nécessaires pour développer sans cesse leur activité. Leurs sites web sont très bien conçus et enregistrent de plus en plus d’affiliés. Leurs offres s’étoffent et atteignent des niveaux de prestation et de simplicité inspirés des géants du web comme Microsoft ou Google. Les abonnements, de moins en moins chers, sont des packs complets très facilement accessibles sur le dark web. Pour 50$, n’importe qui peut souscrire un abonnement et devenir affilié d’un ransomware as a service. Des campagnes marketing agressives accompagnent leur déploiement. Surtout, les logiciels se perfectionnent et les clés de déchiffrement se complexifient. 

De nouveaux outils malveillants voient alors le jour : c’est le cas du double extorsion ransomware. Ces attaques ransomwares permettent au cybercriminel d’extraire les données sensibles de la victime en plus de les chiffrer. Le hacker a ensuite la possibilité de demander à ce que la victime paie deux rançons. Cette menace supplémentaire d’extraction de données fragilise un peu plus l’entreprise pour qui la clé de déchiffrement ne suffit plus. Par simple envoi d’emails de phishing, le logiciel malveillant atteint sa cible et infiltre le système de la victime. C’est d’ailleurs une nouvelle occasion pour les opérateurs RaaS de proposer un service complémentaire d’emails phishing : le Phishing as a service (PhaaS). C’est le cas du Ransomware Cerber qui utilise email de phishing et système de chiffrement pour attaquer ses victimes.

C’est ainsi qu’en 2022, 831 intrusions à finalité lucrative ont été recensées en France par l’Agence Nationale de la Sécurité des Système d’Information. On sait notamment que les entreprises privées constituent les cibles privilégiées, mais que les collectivités locales représentent pas moins de 23% des incidents comptabilisés. Le Centre Hospitalier Sud Francilien a par exemple connu une exfiltration de données à hauteur de 11 gigaoctets qui ont ensuite été divulgués sur le site web du groupe criminel.

Les conséquences du ransomware as a service pour les entreprises victimes

L’entreprise victime de rançongiciel doit alors prendre une décision : payer la rançon demandée par l’affilié du RaaS, ou bien passer outre les menaces et s’exposer à la perte complète des données. 

Dans le premier cas, la victime doit se connecter sur le portail de paiement du distributeur RaaS pour payer la rançon, généralement en Bitcoin. Cette somme sera partagée entre l’éditeur du ransomware et son affilié. Le hacker envoie ensuite la marche à suivre et la clé de déchiffrement à sa victime pour qu’elle puisse récupérer ses fichiers. Il est important de noter que le coût de la rançon ne représente que 14,3% du coût total de l’attaque.

Effectivement, des coûts relatifs à la restauration, à la surveillance, à la communication autour de l’attaque, aux ressources juridiques engagées doivent être pris en compte. Ces dépenses sont encore largement alourdies quand on sait que le paiement de la rançon ne garantit ni la restitution des données, ni l’assurance de ne plus subir d’attaque. Cybereason révèle d’ailleurs que 91% des organisations françaises à avoir payé la rançon ont connu une nouvelle attaque en moins d’un mois.

La divulgation des données clients constitue évidemment un autre risque, en cas de paiement et de non-paiement. Ces informations ont une grande valeur et peuvent être vendues à prix d’or sur le dark web, ou utilisées frauduleusement.

Tous ces facteurs ont de très lourdes conséquences sur les organismes frappés par les rançongiciels : 

• Licenciements massifs 
• Interruption temporaire de l’activité
• Mise en péril de l’image de marque, notamment pour les groupes travaillant dans la sécurité ou gérant des données personnelles très sensibles
• … allant jusqu’à la perte d’affaires et de clients pour les secteurs comme la santé, la finance, les ressources humaines

Comment Altospam vous protège contre les attaques d’un ransomware as a service ?

Conscient que les opérateurs de RaaS pullulent sur le dark web et génèrent chaque année des milliards de dollars, Altospam propose des services simples d’utilisation pour assurer la cybersécurité des entreprises. 

Le logiciel Altospam permet d’analyser et de gérer votre cybersécurité en temps réel. En plus de filtrer les mails, les pièces jointes et les liens reçus, notre outil garantit une protection. Protégez efficacement votre entreprise du phishing et des logiciels malveillants grâce à une solution de cybersécurité de l’email qui s’adapte à la taille de votre entreprise.Pour conclure, n’oubliez pas quelques gestes simples pour réduire les risques de menace comme effectuer des sauvegardes régulières stockées sur un appareil externe, conduire des formations de sensibilisation sur les risques d’attaque au ransomware auprès de vos collaborateurs, prévoir une authentification multifacteur pour ajouter une couche de sécurité, faire les mises à jour régulières contenant les correctifs de vulnérabilités et adopter un outil de sécurité anti-phishing capable de repérer et bloquer les emails de rançonnage.