Le sujet des ransomwares se retrouve sur toutes les lèvres dès lors que l’on évoque les menaces cyber auxquelles pourraient être confrontées les entreprises en 2021. Plus ambitieux que jamais, les attaquants vont jusqu’à créer leur propre marque, tandis que les annonces d’entreprises victimes de ransomwares continuent de faire régulièrement la une. Mais en se mettant sous le feu des projecteurs, ces groupes cachent la véritable complexité de l’écosystème des ransomwares. Pour aider les entreprises à comprendre comment fonctionne cette nébuleuse et comment la combattre, les chercheurs Kaspersky se sont intéressés aux forums hébergés sur le darknet et ont enquêté sur les gangs tels que REvil et Babuk et publient un nouveau rapport qui démystifie certains mythes à propos des ransomwares. Car si l’on y regarde de plus près, on découvre un univers aux multiples visages.
Un écosystème de services, bien organisé où chacun tient son rôle.
Comme tout secteur d’activité, l’écosystème des ransomwares comprend une multitude d’acteurs qui jouent différents rôles. Contrairement à la croyance selon laquelle les cybercriminels sont regroupés en gangs très soudés qui partagent tout et obéissent à un chef, la réalité est plus proche du film The Gentlemen de Guy Ritchie. La plupart des attaques font intervenir un nombre important d’acteurs différents — développeurs, botmasters, vendeurs d’accès ou opérateurs de ransomwares — qui se rendent mutuellement service via des places de marché hébergées sur le darkweb.
Ces acteurs échangent par le biais de forums spécialisés sur le darknet, où des offres de services et de partenariats sont régulièrement postées. Les gros bonnets qui opèrent de façon autonome ne fréquentent pas ce type de sites, mais des groupes connus tels que REvil, qui ont ciblé un nombre croissant d’entreprises au cours des derniers trimestres, publient régulièrement leurs offres et leurs actualités au moyen de programmes d’affiliation. Les contrats de ce type supposent un partenariat entre l’opérateur du groupe de ransomwares et un affilié, l’opérateur percevant une marge de 20 à 40 % et l’affilié les 60 à 80 % restants.
Des affiliés choisis avec soin et des victimes choisies à l’opportunité
Les affiliés sont recrutés selon un processus bien huilé dont les règles de base sont fixées dès le départ par les opérateurs de ransomwares. Ces règles peuvent notamment imposer des restrictions géographiques ou véhiculer une idéologie politique. Les victimes, en revanche, sont choisies de manière opportuniste.
Comme les individus qui s’attaquent aux entreprises et ceux qui opèrent les ransomwares appartiennent à des groupes distincts, formés uniquement par l’appât du gain, les entreprises ciblées sont souvent les plus faciles à atteindre – celles que les pirates peuvent infiltrer sans difficultés. Ceux-ci peuvent être des acteurs rattachés aux programmes d’affiliation ou des opérateurs indépendants, qui revendent ensuite l’accès au réseau des entreprises par le biais d’enchères ou à prix fixe à partir de 50 USD. Bien souvent, ces attaquants sont des propriétaires de botnets qui travaillent sur des campagnes de grande ampleur et vendent l’accès aux machines des victimes par « lots ». Il peut également s’agir de « revendeurs d’accès » qui traquent les vulnérabilités offertes par les logiciels exposés à Internet, telles que les applications VPN ou les passerelles de messagerie, véritables portes d’entrée au réseau des entreprises.
Des places de marché complètes avec de nombreuses offres dédiées au cybercrime
Les forums de ransomwares hébergent également d’autres types d’offres. Certains opérateurs vendent des échantillons de malwares et des logiciels de conception de ransomwares pour des sommes qui peuvent varier entre 300 et 4 000 USD, quand d’autres proposent des forfaits RaaS (Ransomware-as-a-Service), qui comprennent l’achat du ransomware et le support technique des développeurs, à des tarifs allant de 120 USD par mois à 1 900 USD par an.
« Ces 2 dernières années, nous avons constaté que les cybercriminels sont devenus plus audacieux dans leur utilisation des ransomwares. Les entités visées par ces attaques ne se limitent pas aux entreprises et aux organisations gouvernementales. Les opérateurs de ransomware sont prêts à hacker tous types d’entreprises et ce peu importe leur taille. Il apparait clairement que l’industrie du ransomware est complexe et implique de nombreux acteurs avec des rôles variés. Pour les combattre, nous devons nous éduquer et comprendre la façon dont ils fonctionnent pour leur faire face de manière unie. Le « Anti-Ransomware Day » est une bonne opportunité de mettre ce besoin en lumière et de rappeler l’importance d’adopter des pratiques de sécurité efficaces. L’initiative “Global Cybercrime Programme” d’INTERPOL, lancée ensemble avec nos partenaires, est bien décidée à réduire l’impact des ransomwares à l’échelle mondiale et à protéger les communautés des dommages causés par cette menace grandissante », commente Craig Jones, Director Cybercrime, INTERPOL.
« L’écosystème des ransomwares est complexe car il y a beaucoup d’intérêts en jeu. C’est un marché fluide avec beaucoup d’acteurs, certains très opportunistes, d’autres très professionnels et sophistiqués. Ils ne choisissent pas de cible en particulier et s’attaquent à toute organisation – une grande entreprise grande, une toute petite activité indépendante, peu importe, du moment qu’ils parviennent à l’infiltrer. Et vu le succès de leurs activités, les cybercriminels ne vont pas disparaître du jour au lendemain », commente Dmitry Galov, chercheur en cybersécurité au sein de la Global Research and Analysis Team (GReAT) de Kaspersky. « La bonne nouvelle, c’est que des mesures de sécurité relativement simples peuvent décourager les attaquants. Des pratiques de base telles que la mise à jour régulière des logiciels et les sauvegardes ciblées ont une véritable utilité. Et les entreprises peuvent aller beaucoup plus loin pour se protéger. »
« Pour mettre en place des mesures efficaces contre l’écosystème des ransomwares, il est indispensable de bien comprendre ses tenants et ses aboutissants. Grâce à ce rapport, nous espérons faire lumière sur la façon dont les attaques de ransomwares sont véritablement coordonnées, pour que les entreprises puissent adopter des mesures de protection adéquates », ajoute Ivan Kwiatkowski, chercheur en cybersécurité senior au sein du GReAT de Kaspersky.
Communiqué