Les rançongiciels sont devenus l’une des principales menaces pour les entreprises. Selon un rapport conjoint de l’ANSSI et de son homologue allemand, le BSI, la situation risque de s’aggraver à l’avenir. En cause, la division du travail et la professionnalisation des processus.
Depuis la fin de l’année 2019, et particulièrement depuis l’irruption pandémique, les tentatives d’extorsion dans les attaques dites Big gamehunting, que l’on pourrait traduire par « chasse au gros » (et en bande organisée) en Français, se sont aggravées. Avec une sophistication accrue des méthodes d’hameçonnage via le courriel et le SMS, mais aussi par d’autres moyens comme le téléphone et les rencontres physiques et des techniques d’intrusion.
Ces attaques ont été amplifiées par la combinaison du chiffrement avec d’autres méthodes malveillantes. Ce modèle dit de double extorsion a été observé à travers différentes souches de ransomware et groupes cybercriminels. Dans ces cas, les attaquants exfiltraient éventuellement les données sensibles des organisations ciblées avant de commencer le chiffrement, afin de menacer les victimes, soit de divulgation publique des données volées, soit de les vendre aux enchères ou à des tiers intéressés.
C’est cet état de fait que décrivent les deux agences publiques chargées de la cybersécurité en Allemagne et en France, l’ANSSI et le BSI. La quatrième édition du rapport commun faisant le point sur la situation dans les deux pays met l’accent sur l’industrialisation des processus et la professionnalisation des cybermalfaiteurs, « qui opèrent chacun selon sa spécialité ».
Émergence du Cybercrime-as-a-Service (CCaaS)
Parmi les évolutions décrites dans le rapport, la cybercriminalité en tant que service (ou CCaaS, Cybercrime-as-a-servie) a permis la division du travail entre différentes équipes. Une spécialisation qui a morcelé la « chaîne d’approvisionnement de la cybercriminalité » en segments de niche. Entre l’approche initiale jusqu’au blanchiment du produit des extorsions, en passant par l’intrusion, la surveillance et l’observation, les déplacements latéraux et l’exfiltration, des équipes spécialisées interviennent à chaque étape.
Mais, si cette tendance aggrave encore plus la dangerosité des attaques, elle ouvre ce marché à toute personne désireuse de commanditer les services de ces agences de l’ombre. D’ailleurs, celles-ci figurent en bonne place parmi les annonces criminelles publiées sur le dark web et les forums de hacking. Elles ouvrent le marché à des acteurs qui n’en ont pas les compétences. Ces services permettent en effet aux criminels ayant des connaissances limitées, voire inexistantes, en matière de logiciels malveillants et de développement de maliciels de mener leurs propres campagnes malfaisantes.
Des opérateurs spécialisés
Le rapport révèle également l’émergence de la sous-catégorie des Rançongiciels-as-a-Service (RaaS). Un type de CCaaSqui consiste à proposer un package comprenant l’accès à un ransomware, à ses infrastructures de paiement et de distribution ainsi qu’à un ensemble de services de back-office, le tout sous une forme prêt-à-l’emploi. Les cybercriminels qui s’abonnent aux services d’un RaaS sont appelés « affiliés ». « Cela leur permet de mener des opérations d’extorsion efficaces à moindre coût, sans nécessairement disposer des compétences techniques pour développer un ransomware et maintenir son infrastructure de commandement et de contrôle (C2) et de paiement », explique le rapport.
En échange, un certain pourcentage des gains générés par ces affiliés revient aux opérateurs RaaS, « généralement moins de 50 % », précise le rapport. Selon ce dernier, c’est cette spécialisation qui explique en partie l’augmentation constante des attaques par ransomwares. « Bien que ce modèle de ransomware soit en partie plus risqué pour les opérateurs, car ces derniers n’ont pas beaucoup de contrôle sur les actions de leurs affiliés, en général, il offre de multiples avantages tant pour les opérateurs que pour les affiliés », précise le rapport.
Les avantages d’un tel écosystème sont nombreux selon le rapport. Pour mener des attaques coordonnées par exemple : si un opérateur utilise lui-même activement le ransomware, les attaques de ses affiliés peuvent servir de couverture à ses propres cyberattaques. Il permet en outre de brouiller les pistes, car plus un logiciel malveillant est utilisé, plus il est difficile de différencier les attaquants, donc de les traquer. Un effet de couverture qui joue également en faveur de l’affilié. En outre, elle permet aux développeurs du ransomware d’augmenter leur retour sur investissement. Comme pour le développement de logiciels légaux, le développement et la maintenance d’un ransomware entraînent des coûts initiaux.