Table des matières[Cacher][Montrer]
Les ransomwares ne sont pas une toute nouvelle menace sur Internet. Ses racines remontent à de nombreuses années. Cette menace n'a fait que devenir plus dangereuse et impitoyable au fil du temps.
Le mot "ransomware" a acquis une large reconnaissance à la suite du bombardement de cyberattaques qui ont rendu de nombreuses entreprises inutilisables ces dernières années.
Tous les fichiers de votre PC ont été téléchargés et cryptés, puis votre écran devient noir et un message en anglais trébuchant apparaît.
Yous devez payer une rançon aux cybercriminels black hat en Bitcoin ou autres crypto-monnaies introuvables afin d'obtenir une clé de déchiffrement ou empêcher que vos données sensibles ne soient diffusées sur le dark web.
Mais moins sont peut-être au courant du ransomware-as-a-Service, un modèle commercial de la pègre bien organisé qui peut mener ces types d'attaques (ou RaaS).
Au lieu de mener eux-mêmes des attaques, les créateurs de ransomware louent leurs virus coûteux à des cybercriminels moins expérimentés qui sont prêts à encourir le risque associé à la conduite d'opérations de ransomware.
Mais comment tout cela fonctionne-t-il ? Qui dirige la hiérarchie et qui fait office d'intermédiaire ? Et peut-être plus important encore, comment pouvez-vous défendre votre entreprise et vous-même contre ces agressions paralysantes ?
Continuez à lire pour en savoir plus sur RaaS.
Qu'est-ce qu'un ransomware en tant que service (RaaS) ?
Ransomware-as-a-service (RaaS) est un modèle commercial d'entreprise criminelle qui permet à quiconque de se joindre et d'utiliser des outils pour lancer des attaques de ransomware.
Les utilisateurs de RaaS, comme ceux qui utilisent d'autres modèles en tant que service tels que le logiciel en tant que service (SaaS) ou la plate-forme en tant que service (PaaS), louent plutôt que possèdent des services de ransomware.
Il s'agit d'un vecteur d'attaque low-code, logiciel en tant que service, qui permet aux criminels d'acheter des logiciels de ransomware sur le dark web et de mener des attaques de ransomware sans savoir comment coder.
Les schémas de phishing par e-mail sont un vecteur d'attaque courant pour les vulnérabilités RaaS.
Lorsqu'une victime clique sur un lien malveillant dans l'e-mail de l'attaquant, le ransomware se télécharge et se propage sur la machine affectée, désactivant les pare-feu et les logiciels antivirus.
Le logiciel RaaS peut rechercher des moyens d'élever les privilèges une fois que les défenses du périmètre de la victime ont été violées, et finalement tenir l'ensemble de l'organisation en otage en cryptant les fichiers au point où ils sont inaccessibles.
Une fois que la victime a été informée de l'attaque, le programme lui fournira des instructions sur la façon de payer la rançon et (idéalement) d'obtenir la bonne clé cryptographique pour le décryptage.
Bien que les vulnérabilités RaaS et ransomware soient illégales, les criminels qui commettent ce type d'agression peuvent être particulièrement difficiles à appréhender car ils utilisent les navigateurs Tor (également appelés routeurs oignon) pour accéder à leurs victimes et exiger des paiements de rançon en bitcoins.
Le FBI affirme que de plus en plus de créateurs de logiciels malveillants diffusent leurs programmes nocifs LCNC (low code/no code) en échange d'une partie du produit de l'extorsion.
Comment fonctionne le modèle RaaS ?
Les développeurs et les affiliés collaborent pour mener une attaque RaaS efficace. Les développeurs sont chargés d'écrire des rançongiciels malveillants spécialisés, qui sont ensuite vendus à un affilié.
Le code du ransomware et les instructions pour lancer l'assaut sont fournis par les développeurs. RaaS est simple à utiliser et nécessite peu de connaissances technologiques.
Toute personne ayant accès au dark web peut accéder au portail, s'inscrire en tant qu'affilié et lancer des assauts en un seul clic. Les affiliés choisissent le type de virus qu'ils souhaitent distribuer et effectuent un paiement en utilisant une crypto-monnaie, généralement Bitcoin, pour commencer.
Le développeur et l'affilié se partagent les gains lorsque la rançon est payée et que l'attaque réussit. Le type de modèle de revenus détermine la manière dont les fonds sont alloués.
Examinons quelques-unes de ces stratégies commerciales illégales.
Affilié RaaS
En raison de divers facteurs, notamment la notoriété de la marque du groupe de rançongiciels, les taux de réussite des campagnes, ainsi que le calibre et la variété des services proposés, les programmes d'affiliation clandestins sont devenus l'une des formes les plus connues de RaaS.
Les organisations criminelles recherchent fréquemment des pirates qui peuvent entrer par eux-mêmes dans les réseaux commerciaux afin de conserver leur code de ransomware au sein du gang. Ils utilisent ensuite le virus et l'assistance pour lancer l'assaut.
Cependant, un pirate informatique n'en aura peut-être même pas besoin compte tenu de l'essor récent de l'accès au réseau d'entreprise à vendre sur le dark web pour répondre à ces critères.
Des pirates bien soutenus et moins expérimentés lancent des attaques à haut risque en échange d'une part des bénéfices plutôt que de payer des frais mensuels ou annuels pour utiliser le code du ransomware (mais parfois, les affiliés peuvent avoir à payer pour jouer).
La plupart du temps, les gangs de rançongiciels recherchent des pirates suffisamment qualifiés pour s'introduire dans un réseau d'entreprise et suffisamment courageux pour mener l'attaque.
Dans ce système, l'affilié reçoit souvent entre 60% et 70% de la rançon, les 30% à 40% restants étant envoyés à l'opérateur RaaS.
RaaS par abonnement
Dans cette tactique, les escrocs paient régulièrement des frais d'adhésion pour avoir accès aux ransomwares, au support technique et aux mises à jour de virus. De nombreux modèles de services d'abonnement basés sur le Web, comme Netflix, Spotify ou Microsoft Office 365, sont comparables à cela.
Normalement, les contrevenants aux rançongiciels conservent 100 % des revenus des paiements de rançon pour eux-mêmes s'ils paient le service à l'avance, ce qui peut coûter de 50 $ à des centaines de dollars chaque mois, selon le fournisseur de RaaS.
Ces frais d'adhésion représentent un investissement modeste par rapport au paiement habituel de la rançon d'environ 220,000 XNUMX $. Bien sûr, les programmes d'affiliation peuvent également intégrer un élément payant basé sur un abonnement dans leurs plans.
Permis à vie
Un producteur de logiciels malveillants peut décider de proposer des packages moyennant un paiement unique et éviter de prendre le risque d'être directement impliqué dans des cyberattaques au lieu de gagner de l'argent récurrent via des abonnements et une participation aux bénéfices.
Dans ce cas, les cybercriminels paient des frais uniques pour obtenir un accès à vie à un kit de ransomware, qu'ils peuvent utiliser de la manière qu'ils jugent appropriée.
Certains cybercriminels de niveau inférieur pourraient choisir un achat unique même s'il est nettement plus cher (des dizaines de milliers de dollars pour des kits sophistiqués) car il leur serait plus difficile de se connecter à l'opérateur RaaS si celui-ci était appréhendé.
Partenariats RaaS
Les cyberattaques utilisant des rançongiciels nécessitent que chaque pirate impliqué ait un ensemble unique de capacités.
Dans ce scénario, un groupe se réunirait et apporterait diverses contributions à l'opération. Un développeur de code de ransomware, des pirates de réseau d'entreprise et un négociateur de rançon anglophone sont nécessaires pour commencer.
En fonction de leur rôle et de leur importance dans la campagne, chaque participant, ou partenaire, accepterait de partager les gains.
Comment détecter une attaque RaaS ?
En règle générale, il n'existe pas de protection contre les agressions contre les ransomwares efficace à 100 %. Cependant, les e-mails de phishing restent la principale méthode utilisée pour mener des attaques de ransomwares.
Par conséquent, une entreprise doit fournir une formation de sensibilisation au phishing pour s'assurer que les membres du personnel comprennent le mieux possible comment repérer les e-mails de phishing.
Sur le plan technique, les entreprises peuvent disposer d'une équipe spécialisée en cybersécurité chargée de chasser les menaces. La chasse aux menaces est une méthode très efficace pour détecter et prévenir les attaques de ransomwares.
Une théorie est créée dans ce processus en utilisant les informations sur les vecteurs d'agression. L'intuition et les données aident à la création d'un programme qui pourrait rapidement identifier la cause de l'agression et l'arrêter.
Pour garder un œil sur les exécutions de fichiers inattendues, les comportements suspects, etc. sur le réseau, des outils de chasse aux menaces sont utilisés. Pour identifier les tentatives d'attaques de ransomwares, ils utilisent la surveillance des indicateurs de compromission (IOC).
De plus, de nombreux modèles de chasse aux menaces situationnelles sont utilisés, chacun étant adapté au secteur d'activité de l'organisation cible.
Exemples de RaaS
Les auteurs de ransomwares viennent de réaliser à quel point il est rentable de créer une entreprise RaaS. En outre, plusieurs organisations d'acteurs malveillants ont mis en place des opérations RaaS pour propager les ransomwares dans presque toutes les entreprises. Voici quelques-unes des organisations RaaS :
- Côté obscur: C'est l'un des fournisseurs de RaaS les plus tristement célèbres. Selon des informations, ce gang était à l'origine de l'attaque contre le pipeline colonial en mai 2021. DarkSide aurait commencé en août 2020 et aurait culminé au cours des premiers mois de 2021.
- Dharma: Dharma Ransomware est apparu à l'origine en 2016 sous le nom de CrySis. Bien qu'il y ait eu plusieurs variantes de Dharma Ransomware au fil des ans, Dharma est apparu pour la première fois au format RaaS en 2020.
- Maze: Comme de nombreux autres fournisseurs de RaaS, Maze a fait ses débuts en 2019. En plus de chiffrer les données des utilisateurs, l'organisation RaaS a menacé de divulguer publiquement les données dans le but d'humilier les victimes. Le Maze RaaS a officiellement fermé ses portes en novembre 2020, bien que les raisons en soient encore quelque peu floues. Certains universitaires, cependant, pensent que les mêmes délinquants ont persisté sous différents noms, comme Egregor.
- DoppelPaymer: Il a été lié à un certain nombre d'événements, dont un en 2020 contre un hôpital en Allemagne qui a coûté la vie à un patient.
- Ryuk: Bien que le RaaS ait été plus actif en 2019, on pense qu'il a existé au moins en 2017. De nombreuses sociétés de sécurité, dont CrowdStrike et FireEye, ont démenti les affirmations de certains chercheurs selon lesquelles la tenue serait située en Corée du Nord.
- Verrouillage: En tant qu'extension de fichier, l'organisation utilise pour chiffrer les fichiers des victimes, le "virus .abcd", apparu pour la première fois en septembre 2019. La capacité de LockBit à se propager de manière autonome sur un réseau cible est l'une de ses caractéristiques. Pour les attaquants potentiels, cela en fait un RaaS souhaitable.
- le mal: Bien qu'il existe plusieurs fournisseurs de RaaS, c'était le plus courant en 2021. L'assaut de Kaseya, qui s'est produit en juillet 2021 et a eu un impact sur au moins 1,500 2021 entreprises, était lié au REvil RaaS. L'organisation serait également à l'origine de l'attaque de juin 11 contre le fabricant de viande JBS USA, pour laquelle la victime a dû payer une rançon de 2021 millions de dollars. Il a également été reconnu responsable d'une attaque par ransomware contre le fournisseur de cyberassurance CNA Financial en mars XNUMX.
Comment prévenir les attaques RaaS ?
Les pirates RaaS utilisent le plus souvent des e-mails sophistiqués de spear-phishing créés par des experts pour sembler authentiques afin de distribuer des logiciels malveillants. Une approche solide de gestion des risques qui prend en charge la formation continue de sensibilisation à la sécurité pour les utilisateurs finaux est nécessaire pour se protéger contre les exploits RaaS.
La première et la meilleure protection consiste à créer une culture d'entreprise qui informe les utilisateurs finaux des techniques de phishing les plus récentes et des dangers que les attaques de ransomwares représentent pour leurs finances et leur réputation. Les initiatives à cet égard comprennent :
- Mise à niveau logicielle: Les systèmes d'exploitation et les applications sont fréquemment exploités par des ransomwares. Pour aider à arrêter les attaques de rançongiciels, il est important de mettre à jour le logiciel lorsque des correctifs et des mises à jour sont publiés.
- Faites attention à sauvegarder et restaurer vos données: L'établissement d'une stratégie de sauvegarde et de restauration des données est la première étape, et probablement la plus importante. Les données deviennent inutilisables pour les utilisateurs après cryptage par ransomware. L'impact du chiffrement des données par un attaquant peut être atténué si une entreprise dispose de sauvegardes actuelles pouvant être utilisées dans une procédure de récupération.
- Prévention du phishing: L'hameçonnage par e-mail est une méthode d'attaque typique pour les ransomwares. Les attaques RaaS peuvent être évitées si une sorte de protection anti-hameçonnage est en place.
- Authentification à plusieurs facteurs: Certains attaquants utilisant des rançongiciels utilisent le credential stuffing, qui consiste à utiliser des mots de passe volés d'un site à un autre. Étant donné qu'un deuxième facteur est toujours requis pour obtenir l'accès, l'authentification multifacteur réduit l'impact d'un mot de passe unique trop utilisé.
- Sécurité pour les terminaux XDR: Les technologies de sécurité des terminaux et de chasse aux menaces, comme XDR, offrent une couche de défense cruciale supplémentaire contre les ransomwares. Cela offre des capacités de détection et de réponse améliorées qui aident à réduire le danger des ransomwares.
- Restriction DNS: Ransomware utilise fréquemment une sorte de serveur de commande et de contrôle (C2) pour s'interfacer avec la plate-forme d'un opérateur RaaS. Une requête DNS est presque toujours impliquée dans les communications entre une machine infectée et le serveur C2. Les organisations peuvent reconnaître quand un rançongiciel tente d'interagir avec le RaaS C2 et empêcher les communications à l'aide d'une solution de sécurité de filtrage DNS. Cela peut agir comme un type de prévention des infections.
L'avenir du RaaS
Les attaques RaaS deviendront de plus en plus fréquentes et appréciées des pirates informatiques à l'avenir. Selon un rapport récent, plus de 60 % de toutes les cyberattaques des 18 derniers mois étaient basées sur RaaS.
RaaS devient de plus en plus populaire en raison de sa simplicité d'utilisation et du fait qu'aucune connaissance technique n'est nécessaire. De plus, nous devons nous préparer à une augmentation des attaques RaaS qui ciblent des infrastructures vitales.
Cela couvre les domaines de la santé, de l'administration, des transports et de l'énergie. Les pirates informatiques considèrent ces industries et institutions cruciales comme plus exposées que jamais, plaçant des entités telles que les hôpitaux et les centrales électriques dans le viseur des attaques RaaS. chaîne d'approvisionnement les problèmes se poursuivent jusqu'en 2022.
Conclusion
En conclusion, même si Ransomware-as-a-Service (RaaS) est une création et l'un des dangers les plus récents pour s'attaquer aux utilisateurs numériques, il est crucial de prendre certaines mesures préventives pour lutter contre cette menace.
En plus d'autres précautions de sécurité fondamentales, vous pouvez également compter sur des outils antimalware de pointe pour vous protéger davantage contre cette menace. Malheureusement, RaaS semble être là pour rester pour le moment.
Vous aurez besoin d'un plan complet de technologie et de cybersécurité pour vous protéger contre les attaques RaaS afin de réduire la probabilité d'une attaque RaaS réussie.
Soyez sympa! Laissez un commentaire