Le marché des rançongiciels et des services afférents est florissant sur le Dark web. L’analyse de 35 millions d’URL du Dark web montre des rançongiciels largement disponibles à des prix avantageux et qui varient en fonction de l’historique des succès du rançongiciel à la vente.

La sophistication des attaques cyber ainsi que la personnalisation de plus en plus fréquente des ciblages donne la mesure de l’évolution de l’écosystème malintentionné des hackers. Dans ce schéma, le Dark web fait office de place de marché noir en permettant aux hackers, développeurs et botmasters, de vendre et d’acheter des codes malicieux et des services en tous genres, notamment des infrastructures de commande et de contrôle.

Aujourd’hui, presque tous les rançongiciels peuvent être trouvés dans des ressources cachées dans le réseau Tor. Et de nombreux types de logiciels malveillants sont directement contrôlés par des serveurs hébergés à la fois sur Tor et sur I2P, et il est assez facile de trouver des offres as-a-Service (comme le RaaS ou Ransom-as-a-Service). Le Dark web présente un autre avantage pour les attaquants, car il permet de trouver des infrastructures de paiement afin de transférer l’argent extorqué aux victimes.

RaaS ou rançongiciels en tant que service

En analysant le Dark web pour une étude réalisée par Venafi, des enquêteurs ont découvert 475 pages web de produits et services de rançongiciels sophistiqués, avec plusieurs groupes très connus, « qui commercialisaient agressivement des rançongiciels en tant que service ». Ces rançongiciels représentent une trentaine de « marques » différentes de code malicieux identifiées sur des listes de marché et des discussions de forums. Réalisée en partenariat avec le fournisseur de renseignements criminels Forensic Pathways entre novembre 2021 et mars 2022, l’étude a analysé 35 millions d’URL du Dark web, y compris des marchés et des forums, en utilisant le moteur de recherche Forensic Pathways Dark.

Les enquêteurs ont découvert un marché structuré et financièrement assez mature, avec une segmentation par les prix et en fonction de l’historique des attaques réussies. Des souches de rançongiciels utilisées dans des attaques très connues sont fournies à un prix supérieur pour les services associés. Et la liste est longue, car de nombreuses souches de rançongiciels mises à la vente, telles que Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear et WannaCry, ont été utilisées avec succès dans des attaques très connues.

Le prix des souches fluctue selon leurs « exploits passés »

Selon leur sophistication et l’historique de leurs « exploits passés », les codes sources des rançongiciels bien connus s’élèvent généralement des prix supérieurs. Par exemple, le code source Babuk est facturé à 950 dollars et celui de Paradise se vend pour 593 dollars. L’offre la plus onéreuse s’élevait à 1 262 dollars pour une version personnalisée du rançongiciel Darkside, qui a été utilisé dans la tristement célèbre attaque sur Colonial Pipeline en 2021.À l’autre extrémité du spectre, de nombreux rançongiciels à « prix cassés » sont disponibles dans de nombreux listings, avec des offres partant de 0,99 dollar pour les codes de Lockscreen.

Outre une variété de rançongiciels à différents prix, l’étude a également découvert une vaste gamme de services et d’outils qui aident les agresseurs, dotés d’un minimum de compétences, à lancer des attaques. Les services qui disposent du plus grand nombre de listings comprennent ceux offrant un code source, des services de constructions, des services de développement personnalisés, et des packages de rançongiciels qui comprennent des tutoriels pas à pas.