L’écosystème des Ransomware as a service (RaaS) recrute pour forcer les victimes à payer.
Victoria Kivilevich, analyste du renseignement sur les menaces chez KELA, a publié les résultats d’une étude de tendance RaaS, affirmant que les attaques individuelles ont presque « disparu » en raison de la nature lucrative du système. Commerce de ransomwares criminels.
Les gains financiers potentiels des entreprises cherchant désespérément à déverrouiller leurs systèmes ont donné lieu à des spécialistes du chantage et ont également entraîné une énorme demande d’individus capables de prendre en charge le côté négociation d’une chaîne d’attaque.
Les ransomwares peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et ses résultats. Si des attaquants réussissent à toucher un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres appareils.
Dans un cas récent, des vulnérabilités zero-day dans des logiciels américains fournis par Kaseya ont été utilisées pendant le week-end férié américain pour compromettre les terminaux et exposer les organisations à un risque d’infection par ransomware. On estime actuellement que jusqu’à 1 500 entreprises ont été touchées.
Selon KELA, une attaque de ransomware typique comporte quatre phases : acquisition de code/malware, propagation et infection des cibles, extraction de données et/ou persistance de la maintenance sur les systèmes affectés et génération de revenus.
Il y a des acteurs dans chaque « domaine », et récemment, la demande de spécialistes de l’exploitation minière et de la génération de revenus a augmenté parmi les groupes de ransomware.
L’émergence de revendeurs en particulier dans le domaine de la monétisation est désormais une tendance dans l’espace RaaS. Selon les chercheurs du KELA, on assiste à l’émergence d’un grand nombre d’acteurs malveillants contrôlant l’aspect négociation, tout en augmentant la pression via les appels téléphoniques, les attaques par paralysie distribuée (DDoS) ou les menaces de fuite d’informations volées.
KELA suggère que ce rôle est dû à deux facteurs potentiels : le besoin pour les groupes de ransomware de s’en tirer avec une marge bénéficiaire décente et le besoin de personnes parlant anglais pour mener des négociations efficaces.
« Cette partie de l’attaque semble également être une activité externalisée, au moins pour certaines filiales et/ou développeurs », explique Kivilevich. « L’écosystème ransomware ressemble donc de plus en plus à une entreprise avec des rôles différents au sein de l’entreprise et des activités plus externalisées. »
Les courtiers d’accès initial sont également très demandés. Après avoir observé les activités du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a augmenté. Certaines offres sont désormais 25 à 115% plus élevées que précédemment enregistrées, notamment lorsque le niveau administrateur de domaine a été accédé.
Ces intrus peuvent s’attendre à obtenir entre 10 et 30 % de la rançon. Il convient toutefois de noter que certains de ces courtiers ne fonctionnent pas du tout avec les ransomwares et ne se livreront qu’à des attaques ciblant d’autres cibles, telles que celles qui conduisent à la collecte de données de carte de crédit.
« Au cours des dernières années, les groupes de ransomwares ont évolué pour devenir des sociétés de cybercriminalité avec des membres ou des « employés » spécialisés dans différentes parties des attaques et différents services d’assistance », a commenté KELA. « La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème, car seule la publicité des programmes d’affiliation a été interdite sur les forums. »