Dans le monde de la cybersécurité, le modèle RaaS (Ransomware-as-a-Service) est devenu une préoccupation croissante tant pour les entreprises que pour les particuliers. Le RaaS est un type de cyberattaque au cours de laquelle les cybercriminels accèdent au système d’une victime puis chiffrent ses fichiers, les rendant ainsi inutilisables. L’attaquant en question demandera alors une rançon à la victime afin de déchiffrer les fichiers et les rendre à nouveau utilisables. Ce type d’attaque est devenu plus courant ces dernières années à mesure que les ransomwares sont devenus plus sophistiqués et accessibles. Par le passé, seuls des cybercriminels hautement qualifiés et compétents pouvaient mener à bien une attaque de ransomware. Cependant, grâce au RaaS, même les hackers novices peuvent désormais lancer facilement ce type d’attaque. Dans cet article, nous aborderons en détail le modèle RaaS, son fonctionnement et les moyens de vous protéger contre cette menace en plein développement.
Qu’est-ce qu’un RaaS (Ransomware-as-a-Service) ?
Le RaaS (Ransomware-as-a-Service) est un type de cyberattaque dans lequel les cybercriminels accèdent au système d’une victime puis chiffrent ses fichiers, les rendant ainsi inutilisables. Le hacker en question demandera alors une rançon à la victime afin de déchiffrer les fichiers et les rendre à nouveau utilisables.
RaaS : un service très pratique pour les cybercriminels
Ces types d’attaque sont devenus plus courants ces dernières années, à mesure que les ransomwares sont devenus plus sophistiqués et plus accessibles. Par le passé, seuls des cybercriminels hautement qualifiés et compétents pouvaient mener à bien une attaque de ransomware. Cependant, grâce au RaaS, même les hackers novices peuvent désormais lancer facilement ce type d’attaque.
Nous disposons d’une multitude d’investigations de cybersécurité appelées « Menaces Émergentes » (Emerging Threats) dans lesquelles nous incluons un rapport décrivant la détection, la mitigation et la réponse à ces nouvelles menaces. Vous pouvez vous rendre sur le blog et téléchargez la dernière version de ce rapport.
Comment fonctionne le modèle RaaS ?
Le RaaS (Ransomware as a Service) fonctionne en permettant à quiconque, quel que soit son niveau de compétence, de louer ou d’acheter les outils et l’infrastructure nécessaires pour mener à bien une attaque de ransomware. Ces services sont généralement proposés sur le dark web et peuvent être payés en utilisant des cryptomonnaies, rendant ainsi difficile le traçage des transactions.
Demandes de rançon et paiements
Une fois qu’un cybercriminel potentiel a accès à ces outils, il peut alors sélectionner sa cible et lancer l’assaut. Une fois l’attaque menée à bien, le hacker en question demandera une rançon à la victime afin de déchiffrer les fichiers. Le montant de la rançon peut varier en fonction du type de données chiffrées et de la capacité de la victime à payer, telle qu’estimée par les attaquants.
RYUK : un exemple récent est l’attaque du ransomware « Ryuk » contre le New York Times, signalée en août 2019. Selon le rapport, les attaquants ont utilisé un RaaS pour accéder au réseau du Times, puis ont chiffré leurs fichiers, exigeant alors une rançon de plusieurs millions de dollars pour déchiffrer les fichiers. Le Times n’aurait apparemment pas payé la rançon et aurait plutôt utilisé des sauvegardes pour restaurer ses données.
MAZE : un autre exemple est l’attaque du Ransomware « Maze » contre l’éditeur de logiciels américain Cognizant. Les attaquants ont utilisé un RaaS pour chiffrer les fichiers de l’entreprise et ont exigé une rançon de 50 millions de dollars pour les déchiffrer. L’entreprise aurait payé la rançon pour restaurer ses données.
Colonial Pipeline : le plus grand opérateur américain de pipelines de carburant a été ciblé par le ransomware DarkSide. Les pirates ont utilisé un RaaS pour chiffrer les fichiers de l’entreprise et ont exigé une rançon de 75 Bitcoins (5 millions de dollars) pour les déchiffrer. L’entreprise a décidé de payer la rançon, mais l’attaque a provoqué la fermeture du pipeline pendant plusieurs jours, entraînant des pénuries de carburant et des hausses de prix le long de la côte Est.
Mesures de prévention
Malheureusement, rien ne garantit que le paiement de la rançon permettra réellement le déchiffrement des fichiers chiffrés. Dans certains cas, les victimes ont payé la rançon mais n’ont toujours pas retrouvé l’accès à leurs données. C’est pourquoi il est si important que les entreprises et les particuliers investissent dans des mesures de cybersécurité appropriées pour prévenir ce type d’attaque. Consultez notre plateforme appelée « Tour Produit ».
Impact sur les infrastructures critiques
Les attaques RaaS peuvent avoir un impact significatif sur les infrastructures critiques, telles que les fournisseurs d’énergie, les installations de traitement des eaux et les réseaux de transport. Le chiffrement des données et des systèmes opérationnels importants peut perturber le fonctionnement normal des infrastructures concernées, entraînant ainsi des interruptions de service, des coupures de courant et d’autres problèmes majeures.
La directive NIS2, qui est la mise à jour de la directive NIS, prend en compte les nouveaux défis de l’ère numérique. NIS2 vise à mieux protéger les citoyens et les entreprises de l’UE contre les cybermenaces et est conçue pour harmoniser les lois et réglementations en matière de cybersécurité, offrant ainsi une approche cohérente pour protéger les citoyens et les entreprises de cette zone.
De manière générale, la directive NIS2 contribue à protéger les infrastructures critiques en définissant des mesures permettant aux États membres et à les OES de gérer les risques de cybersécurité, de détecter, de prévenir et de répondre aux cyberincidents, et de signaler les incidents aux autorités compétentes.
RaaS : une structure complexe
Le modèle RaaS est une sorte de contrat entre un opérateur et un « affilié ». L’opérateur RaaS crée et gère les outils qui alimentent les activités du ransomware, tels que les générateurs de charge virale du ransomware et les sites de paiement pour se connecter avec les victimes. Le programme RaaS peut en outre inclure un site de fuite de données pour partager certaines données exfiltrées et appartenant aux victimes, permettant ainsi aux attaquants de démontrer l’authenticité de l’exfiltration et tenter d’obtenir le paiement de la rançon demandée. De nombreux programmes RaaS incluent également des services de support à l’extorsion, tels que l’hébergement de sites de fuite de données et leur intégration dans les demandes de rançon, ainsi que des services de négociation du déchiffrement, de pression pour obtenir les paiements et de transactions Bitcoin.
Le modèle RaaS donne l’impression que la charge virale ou la campagne fait partie d’une seule et même famille de ransomware ou bien d’un ensemble d’attaquants. Cependant, l’opérateur RaaS vend l’accès à la charge virale du ransomware et le déchiffreur à un associé, qui lance véritablement l’intrusion et l’élévation des privilèges et est en charge du déploiement réel de l’attaque en question. Les bénéfices sont ensuite répartis entre les différentes parties. De plus, les développeurs et les hébergeurs RaaS peuvent profiter de la charge virale en la vendant et en lançant des campagnes avec des charges de ransomware supplémentaires, compliquant ainsi les choses lorsqu’il s’agit de retrouver les cybercriminels se cachant derrière ces opérations.
Conclusion
En conclusion, le RaaS (Ransomware-as-a-Service) constitue une technique malveillante en plein développement dans le monde de la cybersécurité. Il permet aux cybercriminels de gagner facilement de l’argent en proposant leurs malwares en tant que service (as-a-service) à toute personne prête à payer pour ce type de prestation. Pour vous protéger contre le modèle RaaS, il est important de prendre de bonnes habitudes en matière de cybersécurité et de sauvegarder régulièrement vos fichiers. Il est également important de souligner que le paiement de la rançon ne garantit pas toujours le déchiffrement des fichiers et qu’il est donc préférable d’investir dans des mesures de cybersécurité appropriées pour prévenir de telles attaques.
