Ransomware en tant que service (RaaS) expliqué
Kurt Baker - 7 février 2022
Qu'est-ce qu'un ransomware en tant que service (RaaS) ?
Le ransomware en tant que service (RaaS) est un modèle commercial entre les opérateurs de ransomware et les affiliés dans lequel les affiliés paient pour lancer des attaques de ransomware développées par les opérateurs. Considérez le ransomware en tant que service comme une variante du modèle commercial de logiciel en tant que service (SaaS).
Les kits RaaS permettent aux affiliés qui n'ont pas les compétences ou le temps de développer leur propre variante de ransomware d'être opérationnels rapidement et à moindre coût. Ils sont faciles à trouver sur le dark web, où ils sont annoncés de la même manière que les biens sont annoncés sur le web légitime.
Un kit RaaS peut inclure une assistance 24h/24 et 7j/7, des offres groupées, des avis d'utilisateurs, des forums et d'autres fonctionnalités identiques à celles proposées par les fournisseurs SaaS légitimes. Le prix des kits RaaS varie de 40 $ par mois à plusieurs milliers de dollars – des montants insignifiants, étant donné que la demande de rançon moyenne en 2021 était de 6 millions de dollars. Un acteur menaçant n'a pas besoin que chaque attaque réussisse pour devenir riche.
Comment fonctionne le modèle RaaS
Le tableau ci-dessous décrit les rôles que jouent les opérateurs et les affiliés dans le modèle RaaS :
Opérateurs RaaS Affiliés RaaS
Recrute des affiliés sur les forums Paye pour utiliser le rançongiciel
Accepte des frais de service par rançon collectée
Donne aux affiliés l'accès à un "créez votre propre
panneau du package de ransomware »
Crée un "Command and Control" dédié
tableau de bord permettant à l'affilié de suivre le colis Cibles victimes
Définit les demandes de rançon
Configure les messages utilisateur post-compromis
Compromet les biens de la victime
Maximise l'infection en utilisant "vivre de la terre"
techniques
Exécute les rançongiciels
Met en place un portail de paiement des victimes
« Assiste » les affiliés dans les négociations avec les victimes Communique avec la victime via des portails de chat ou
autres canaux de communication
Gère un site dédié aux fuites Gère les clés de déchiffrement
Il existe quatre modèles de revenus RaaS courants :
Abonnement mensuel pour un forfait
Les programmes d'affiliation, qui sont identiques à un modèle de frais mensuels, mais avec un pourcentage des bénéfices (généralement 20 à 30 %) revenant au développeur du rançongiciel
Frais de licence uniques sans partage des bénéfices
Intéressement pur aux bénéfices
Les opérateurs RaaS les plus sophistiqués proposent des portails qui permettent à leurs abonnés de voir l'état des infections, le total des paiements, le total des fichiers cryptés et d'autres informations sur leurs cibles. Un affilié peut simplement se connecter au portail RaaS, créer un compte, payer avec Bitcoin, entrer des détails sur le type de malware qu'il souhaite créer et cliquer sur le bouton Soumettre. Les abonnés peuvent avoir accès à l'assistance, aux communautés, à la documentation, aux mises à jour de fonctionnalités et à d'autres avantages identiques à ceux dont bénéficient les abonnés aux produits SaaS légitimes.
Le marché du RaaS est concurrentiel. En plus des portails RaaS, les opérateurs RaaS mènent des campagnes marketing et ont des sites Web qui ressemblent exactement aux campagnes et sites Web de votre propre entreprise. Ils ont des vidéos, des livres blancs et sont actifs sur Twitter. RaaS est une entreprise, et c'est une grande entreprise : les revenus totaux des ransomwares en 2020 étaient d'environ 20 milliards de dollars, contre 11,5 milliards de dollars l'année précédente.
Certains exemples bien connus de kits RaaS incluent Locky, Goliath, Shark, Stampado, Encryptor et Jokeroo, mais il y en a beaucoup d'autres et les opérateurs RaaS disparaissent, se réorganisent et réapparaissent régulièrement avec des variantes de ransomware plus récentes et meilleures.
Rapport CrowdStrike sur les menaces mondiales 2022
Téléchargez le rapport 2022 sur les menaces mondiales pour découvrir comment les équipes de sécurité peuvent mieux protéger les personnes, les processus et les technologies d'une entreprise moderne dans un paysage de menaces de plus en plus inquiétant.
Télécharger maintenant
Exemples de RaaS
Côté obscur
DarkSide est une opération RaaS associée à un groupe eCrime suivi par CrowdStrike sous le nom de CARBON SPIDER. Les opérateurs DarkSide se concentraient traditionnellement sur les machines Windows et se sont récemment étendus à Linux, ciblant les environnements d'entreprise exécutant des hyperviseurs VMware ESXi non corrigés ou volant les informations d'identification de vCenter. Le 10 mai, le FBI a publiquement indiqué que l'incident du Colonial Pipeline impliquait le rançongiciel DarkSide. Il a été rapporté plus tard que Colonial Pipeline avait volé environ 100 Go de données sur son réseau et que l'organisation aurait payé près de 5 millions de dollars américains à une filiale de DarkSide.
REvil
REvil, également connu sous le nom de Sodinokibi, a été identifié comme le logiciel de rançon à l'origine de l'une des demandes de rançon les plus importantes jamais enregistrées : 10 millions de dollars. Il est vendu par le groupe criminel PINCHY SPIDER, qui vend du RaaS sous le modèle d'affiliation et prend généralement 40 % des bénéfices.
Semblable aux fuites initiales de TWISTED SPIDER, PINCHY SPIDER avertit les victimes de la fuite de données prévue, généralement via un article de blog sur leur DLS contenant des exemples de données comme preuve (voir ci-dessous), avant de publier l'essentiel des données après un certain temps. REvil fournira également un lien vers le blog dans la note de rançon. Le lien affiche la fuite à la victime affectée avant d'être exposée au public. Lors de la visite du lien, un compte à rebours commencera, ce qui entraînera la publication de la fuite une fois la quantité donnée de temps s'est écoulé.
exemple de reevil ransomware dls
Dharma
Les attaques du rançongiciel Dharma ont été attribuées à un groupe de menaces iranien à motivation financière. Ce RaaS est disponible sur le dark web depuis 2016 et est principalement associé aux attaques RDP (Remote Desktop Protocol). Les attaquants exigent généralement 1 à 5 bitcoins de cibles dans un large éventail d'industries.
Dharma n'est pas contrôlé de manière centralisée, contrairement à REvil et aux autres kits RaaS.
Les variantes du Dharma proviennent de nombreuses sources, et la plupart des incidents dans lesquels CrowdStrike a identifié le Dharma ont révélé une correspondance de près de 100 % entre les exemples de fichiers. Les seules différences étaient les clés de chiffrement, l'e-mail de contact et quelques autres éléments pouvant être personnalisés via un portail RaaS. Parce que les attaques Dharma sont presque identiques, les chasseurs de menaces ne sont pas en mesure d'utiliser un incident pour en savoir plus sur qui est derrière une attaque Dharma et comment ils fonctionnent.
LockBit
En développement depuis au moins septembre 2019, LockBit est disponible en tant que RaaS, annoncé aux utilisateurs russophones ou anglophones avec un garant russophone. En mai 2020, une filiale exploitant LockBit a publié une menace de fuite de données sur un forum criminel populaire en langue russe :
exemple de message de rançongiciel lockbit
En plus de la menace, l'affilié fournit une preuve, telle qu'une capture d'écran d'un exemple de document contenu dans les données de la victime. Une fois la date limite passée, l'affilié est connu pour publier un lien mega[.]nz pour télécharger les données de la victime volée. Cette filiale a menacé de publier les données d'au moins neuf victimes.
Voir Crowdstrike Falcon en action
Découvrez comment fonctionne le portail de rançon mis en place par CIRCUS SPIDER et pourquoi NetWalker s'est avéré être un logiciel de rançon en tant que service (RaaS) si efficace.
Télécharger maintenant
Prévenir les attaques RaaS
La récupération après une attaque de ransomware est difficile et coûteuse, et par conséquent, il est préférable de les empêcher complètement. Les étapes pour empêcher une attaque RaaS sont les mêmes que pour empêcher toute attaque de ransomware, car RaaS n'est qu'un ransomware conçu pour être facilement utilisé par toute personne mal intentionnée :
Implémentez une protection des points de terminaison fiable et moderne qui peut fonctionner sur des algorithmes avancés et fonctionne automatiquement en arrière-plan 24 heures sur 24.
Effectuez des sauvegardes régulières et fréquentes. Si une sauvegarde n'est effectuée que tous les week-ends, une attaque de ransomware pourrait coûter une semaine entière de travail.
Effectuez plusieurs sauvegardes et stockez-les sur des appareils distincts à différents endroits.
Testez régulièrement les sauvegardes pour vous assurer qu'elles peuvent être récupérées.
Maintenez un programme de correctifs rigoureux pour vous protéger des vulnérabilités connues et inconnues.
Segmentez le réseau pour empêcher la prolifération dans l'environnement.
Mettez en place une protection anti-hameçonnage avancée.
Investissez dans la formation des utilisateurs et construisez une culture de la sécurité.
REF.: https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/