Conseil

Ransomware as a Service – Rien à signaler sur les plateformes de vente de ransomware ?

Le mercredi 20 juin 2018, le Ministère de l’Intérieur livrait un rapport alarmant sur la cybermenace1. Le nombre de plaintes liées à une cyberattaque a en effet augmenté de plus de 30% entre 2016 et 2017, soit plus de 63 500 sur un an. Ce chiffre s’explique par la sensibilisation, qui pousse de plus en plus les entreprises à signaler les faits, mais également par la démocratisation des outils de piratage, qui sont de plus en plus faciles d’accès et d’utilisation.

 

Terminologies : Malware & Ransomware

 

Malware, ou « Malicious Sofware » est un terme générique qui désigne l’ensemble des programmes développés dans un but malveillant, regroupant notamment les virus, vers, trojans et ransomware. Développés par les étudiants dans les universités durant les années 80, les malware sont aujourd’hui utilisés par les cybercriminels à des fins plus lucratives.

Le Ransomware, ou « Ransom Software » est ainsi une sous-catégorie de malware, prenant en otage les données stockées sur une machine, en échange d’une rançon, sans laquelle la victime ne pourra plus avoir accès à sa machine et à ses données. Il y a deux grands types de ransomware ; les locker-ransomware et les crypto-ransomware.

Les locker-ransomware sont les ransomware les plus anciens : ils empêchent l’utilisateur d’accéder à sa machine en bloquant le système d’exploitation, les données ne sont cependant pas chiffrées. Ces derniers tendent à disparaître au profit des crypto-ransomware qui chiffrent les données de l’utilisateur, rendant la récupération bien plus difficile que pour les simples locker-ransomware.

 

Malware as a Service – MaaS

 

Jusqu’au début des années 2010, les malware nécessitaient un niveau de compétences techniques élevé de la part de ses utilisateurs afin d’être manipulés. Les programmes les plus avancés étaient encore vendus par leurs concepteurs auprès d’une communauté fermée pour plusieurs milliers de dollars. En 2011, les codes sources de plusieurs malware (SpyEyeZeuSCrimepack) furent divulgués sur des forums du darkweb.

Ces fuites permirent de produire les premiers kits de développement de malware, marquant l’émergence du Malware as a Service (MaaS). Il n’est désormais plus nécessaire de détenir des compétences techniques avancées pour développer un malware. L’interface ergonomique permet en effet à son utilisateur de sélectionner les options désirées afin de lancer une cyberattaque. Le MaaS a ainsi contribué à l’industrialisation de la production et de l’exploitation des malware en se servant des plateformes d’échange sur le darkweb comme principal vecteur de communication.

 

Ransomware as a Service – RaaS

 

Les cyberattaques par ransomware sont aujourd’hui les plus rentables. C’est ce qui a conduit les cybercriminels à mettre sur les marchés noirs des kits de développement de ransomware, reprenant le concept du MaaS. En mai 2015, Tox, premier Ransomware as a Service voit le jour sur le darknet Tor. Les utilisateurs de Tox n’avaient alors qu’à spécifier le montant de la rançon (minimum 50 $), ainsi que le message à afficher aux victimes puis à télécharger un petit fichier exécutable d’environ 2 Mo. Une fois le fichier envoyé, un tableau de bord permettait de suivre la propagation du ransomware.

 

 

Le créateur de la plateforme gagnait une commission de 30% par utilisateur infecté qui choisissait de payer la rançon. Le site Tox ferma ses portes après seulement une semaine après sa mise en service : son créateur ayant pris peur face à la forte notoriété de la plateforme.

 

 

Tox n’est que le premier d’une longue lignée de RaaS. L’organisation cybercriminelle russe Rainmaker Labs est aujourd’hui un des principaux producteurs de RaaS, comptant à son actif deux des principaux kits de développement de ransomware, Philadelphia et Stampado. Philadelphia est aujourd’hui l’exemple de RaaS le plus sophistiqué distribué sur le marché noir.

 

Le darkweb, principal vecteur de diffusion des RaaS

 

L’offre des RaaS est aujourd’hui très étendue sur les plateformes du darkweb. On trouve en effet plusieurs dizaines de kits de développement de ransomware, disponibles pour seulement quelques centaines d’euros, comme RaasSberry, Datakeeper, Runion ou Createyourownransomware. Ces plateformes ne diffèrent que par les options et les kits personnalisés qu’elles proposent, le modèle économique restant toujours le même. La plateforme RaaSberry est aujourd’hui la plus facile d’accès et la mieux répertoriée sur les forums du dark web.

 

L’offre tend à se diversifier dans les prochaines années. D’autres types de ransomware font ainsi leur apparition sur le darkweb : on peut ainsi trouver les scareware qui simulent une cyberattaque, afin d’effrayer la victime et de lui soutirer de l’argent, ainsi que les doxware, qui dérobent des informations personnelles dans l’objectif de faire du chantage.

 

1 https://www.interieur.gouv.fr/Le-ministre/Communiques/Etat-de-la-menace-liee-au-numerique-en-2018

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *