Trace Id is missing

Le Rançongiciel en tant que service (Ransomware-as-a-Service) : Le nouveau visage de la cybercriminalité industrialisée

Deux flèches sont superposées sur une ligne et se dirigent l'une vers l'autre en suivant un chemin différent

 Le nouveau modèle économique de la cybercriminalité, à savoir les attaques menées par des humains, enhardit les criminels de tous horizons.

Le rançongiciel, l'une des cybermenaces les plus persistantes et les plus répandues, continue d'évoluer et sa dernière forme représente une nouvelle menace pour les organisations du monde entier. L'évolution des rançongiciels n'implique pas de nouvelles avancées technologiques. Il s'agit plutôt d'un nouveau modèle commercial : le rançongiciel en tant que service (RaaS).

Le rançongiciel en tant que service (RaaS) est un accord entre un opérateur, qui développe et entretient les outils nécessaires aux opérations d'extorsion, et un affilié, qui déploie la charge utile du rançongiciel. Lorsque l'affilié réussit une attaque de rançongiciel et d'extorsion, les deux parties en profitent.

Le modèle RaaS abaisse la barrière à l'entrée pour les attaquants qui n'ont peut-être pas les compétences ou les moyens techniques de développer leurs propres outils, mais qui peuvent utiliser des outils de test d’intrusion et d'administrateur système prêts à l'emploi pour mener des attaques. Ces criminels moins expérimentés peuvent également acheter l'accès au réseau à un groupe criminel plus aguerri qui a déjà franchi un périmètre de sécurité.

Bien que les affiliés du RaaS utilisent des charges utiles de rançongiciel fournies par des opérateurs plus expérimentés, ils ne font pas partie du même « gang »de rançongiciels. Il s'agit plutôt d'entreprises distinctes opérant dans le cadre de l'économie cybercriminelle globale.

Renforcer les capacités des cybercriminels et développer l'économie globale de la cybercriminalité

Le modèle Rançongiciel en tant que service (RaaS) a permis d'affiner et d'industrialiser rapidement ce que des criminels moins compétents peuvent accomplir. Dans le passé, ces criminels moins expérimentés pouvaient utiliser des logiciels malveillants de base qu'ils construisaient ou achetaient pour mener des attaques de portée limitée, mais aujourd'hui, ils peuvent obtenir tout ce dont ils ont besoin, de l'accès aux réseaux aux charges utiles des rançongiciels, auprès de leurs opérateurs RaaS (moyennant finance, bien sûr). De nombreux programmes RaaS intègrent en outre une série d'offres de soutien à l'extorsion, y compris l'hébergement de sites de fuite et l'intégration dans les notes de rançon, ainsi que la négociation du décryptage, la pression du paiement et les services de transaction en crypto-monnaie.

Cela signifie que l'impact d'une attaque de rançongiciel et d'extorsion réussie reste le même, quelles que soient les compétences de l'attaquant.

Découvrir et exploiter les vulnérabilités des réseaux... à un certain prix

L'une des façons dont les opérateurs RaaS apportent de la valeur à leurs affiliés est de leur donner accès à des réseaux compromis. Les brokers d'accès parcourent Internet à la recherche de systèmes vulnérables qu'ils peuvent compromettre et réserver pour un profit ultérieur.

Pour réussir, les attaquants ont besoin d'informations d'identification. Les informations d'identification compromises sont si importantes pour ces attaques que lorsque les cybercriminels vendent un accès au réseau, dans de nombreux cas, le prix comprend un compte administrateur garanti.

Ce que les criminels font de leur accès une fois qu'ils l'ont obtenu peut varier considérablement en fonction des groupes et de leur charge de travail ou de leurs motivations. Le temps qui s'écoule entre l'accès initial et le déploiement de type « hands-on-keyboard » peut donc varier de quelques minutes à plusieurs jours, voire plus, mais lorsque les circonstances le permettent, les dommages peuvent être infligés à une vitesse fulgurante. En fait, il a été observé que le temps écoulé entre l'accès initial et la demande de rançon complète (y compris le transfert d'un broker d'accès à un affilié RaaS) était inférieur à une heure.

Maintenir l'économie en mouvement - des méthodes d'accès persistantes et sournoises

Une fois que les attaquants ont accédé à un réseau, ils sont peu enclins à le quitter, même après avoir perçu leur rançon. En fait, le paiement de la rançon peut ne pas réduire le risque pour un réseau affecté et ne sert qu'à financer les cybercriminels, qui continueront à essayer de monétiser les attaques avec différents logiciels malveillants ou charges utiles de rançongiciel jusqu'à ce qu'ils soient évincés.

Le transfert qui s'opère entre les différents attaquants au fur et à mesure des transitions dans l'économie cybercriminelle signifie que de multiples groupes d'activité peuvent persister dans un environnement en utilisant des méthodes différentes des outils utilisés dans une attaque par ransomware. Par exemple, l'accès initial obtenu par un cheval de Troie bancaire conduit au déploiement de Cobalt Strike, mais l'affilié RaaS qui a acheté l'accès peut choisir d'utiliser un outil d'accès à distance tel que TeamViewer pour mener à bien sa campagne.

L'utilisation d'outils et de paramètres légitimes pour persister face à des implants de logiciels malveillants tels que Cobalt Strike est une technique populaire parmi les attaquants par rançongiciel pour éviter la détection et rester plus longtemps dans un réseau.

Une autre technique d'attaque populaire consiste à créer de nouveaux comptes d'utilisateurs, locaux ou dans Active Directory, qui peuvent ensuite être ajouté à des outils d'accès à distance tels qu'un réseau privé virtuel (VPN) ou un bureau à distance (Remote Desktop). Des attaquants par rançongiciel ont également été observés en train de modifier les paramètres des systèmes pour activer un bureau à distance, réduire la sécurité du protocole et ajouter de nouveaux utilisateurs au groupe d’utilisateurs du bureau à distance.

Diagramme de flux expliquant comment les attaques RaaS sont planifiées et réalisées

Affronter les adversaires les plus insaisissables et les plus rusés du monde

L'une des qualités du modèle RaaS qui rend la menace si préoccupante est qu'il s'appuie sur des attaquants humains qui peuvent prendre des décisions réfléchies et calculées et varier les schémas d'attaque en fonction de ce qu'ils trouvent dans les réseaux où ils atterrissent, s'assurant ainsi qu'ils atteignent leurs objectifs.

Microsoft a inventé le terme Rançongiciel exploité par des humains (human-operated ransomware) pour définir cette catégorie d'attaques comme une chaîne d'activités qui aboutit à une charge utile de rançongiciel, et non comme un ensemble de charges utiles de logiciels malveillants à bloquer.

Si la plupart des campagnes d'accès initial reposent sur une reconnaissance automatisée, une fois que l'attaque passe à la phase « hands-on-keyboard », les attaquants utilisent leurs connaissances et leurs compétences pour tenter de déjouer les produits de sécurité présents dans l'environnement.

C’est la perspective de profits faciles qui motive les attaquants par rançongiciels. Pour contrarier les projets des cybercriminels, il est primordial de les contraindre à redoubler d’efforts en renforçant les dispositifs de sécurité en place. Cette prise de décision humaine signifie que même si les produits de sécurité détectent des phases d'attaque spécifiques, les attaquants eux-mêmes ne sont pas complètement évincés ; ils tentent de continuer s'ils ne sont pas bloqués par un contrôle de sécurité. Dans de nombreux cas, si un outil ou une charge utile est détecté(e) et bloqué(e) par un produit antivirus, les attaquants utilisent simplement un autre outil ou modifient leur charge utile.

Les attaquants sont également conscients des délais de réponse des centres des opérations de sécurité (SOC) et des capacités et limites des outils de détection. Lorsque l'attaque atteint le stade de la suppression des sauvegardes ou des clichés instantanés, il ne reste plus que quelques minutes avant le déploiement d'un rançongiciel. La personne mal intentionnée aurait probablement déjà effectué des actions nuisibles telles que l'exfiltration de données. Ces connaissances sont essentielles pour les SOC qui répondent aux rançongiciels : enquêter sur des détections telles que Cobalt Strike avant la phase de déploiement des rançongiciels et effectuer des actions de correction rapides et des procédures de réponse aux incidents (RI) sont essentielles pour contenir un adversaire humain.

Renforcer la sécurité contre les menaces tout en évitant la fatigue due aux alertes

Une stratégie de sécurité durable contre des adversaires humains déterminés doit comprendre des objectifs de détection et d'atténuation. Il ne suffit pas de s'appuyer uniquement sur la détection car 1) certains événements d'intrusion sont pratiquement indétectables (ils ressemblent à de multiples actions innocentes) et 2) il n'est pas rare que les attaques de rançongiciel passent inaperçues en raison de la fatigue provoquée par de multiples alertes de produits de sécurité disparates.

Étant donné que les attaquants disposent de nombreux moyens pour contourner et désactiver les produits de sécurité et qu'ils sont capables d'imiter le comportement bénin des administrateurs afin de se fondre le plus possible dans la masse, les équipes de sécurité informatique et les SOC doivent soutenir leurs efforts de détection par des mesures de renforcement de la sécurité.

C’est la perspective de profits faciles qui motive les attaquants par rançongiciels. Pour contrarier les projets des cybercriminels, il est primordial de les contraindre à redoubler d’efforts en renforçant les dispositifs de sécurité en place.

Voici quelques mesures que les organisations peuvent prendre pour se protéger :

 

  • Mettre en place des mesures d’hygiène pour les informations d’identification : Développez une segmentation logique du réseau basée sur les privilèges qui peut être intégrée parallèlement à une segmentation du réseau pour limiter les mouvements latéraux.
  • Auditer le niveau d’exposition des informations d’identification : L'audit du niveau d'exposition des informations d'identification est essentiel pour prévenir les attaques de ransomware et la cybercriminalité en général. Les équipes de sécurité informatique et les SOC peuvent collaborer pour réduire les privilèges des administrateurs et comprendre le niveau d'exposition de leurs informations d'identification.
  • Renforcer le cloud : Les attaquants se tournant vers les ressources dans le cloud, il est important de sécuriser les ressources et les identités dans le cloud ainsi que les comptes locaux. Les équipes de sécurité doivent se concentrer sur le renforcement de l'infrastructure de sécurité des identités, l'application de l'authentification multifactorielle (MFA) sur tous les comptes, et le traitement des administrateurs du cloud/administrateurs locataires avec le même niveau de sécurité et d'hygiène des informations d'identification que les administrateurs de domaine.
  • Combler les lacunes de la sécurité : Les organisations doivent vérifier que leurs outils de sécurité fonctionnent dans une configuration optimale et effectuer des analyses régulières du réseau pour s'assurer qu'un produit de sécurité protège tous les systèmes.
  • Réduire la surface d’attaque : Établissez des règles de réduction de la surface d'attaque pour prévenir les techniques d'attaque courantes utilisées dans les attaques de ransomware. Dans les attaques observées de plusieurs groupes d'activité associés aux rançongiciels, les organisations ayant des règles clairement définies ont été en mesure d'atténuer les attaques dans leurs phases initiales tout en empêchant l'activité de type « hands-on-keyboard ».
  • Évaluer le périmètre : Les organisations doivent identifier et sécuriser les systèmes périmétriques que les attaquants pourraient utiliser pour accéder au réseau. Les interfaces publiques d’analyse, telles que , peuvent être utilisées pour renforcer les données.
  • Renforcer les ressources accessibles sur Internet : Les attaquants par rançongiciel et les brokers d'accès utilisent des vulnérabilités non corrigées, qu'elles aient déjà été divulguées ou qu'elles soient de type « vulnérabilité zero-day », en particulier lors de la phase d'accès initial. Ils comprennent également rapidement les nouvelles vulnérabilités. Pour réduire davantage l'exposition, les entreprises peuvent utiliser les fonctionnalités de gestion des menaces et des vulnérabilités dans les produits de PEPT pour découvrir, hiérarchiser et corriger les vulnérabilités et les mauvaises configurations.
  • Préparer la récupération : La meilleure défense contre les rançongiciels doit inclure des plans de récupération rapide en cas d'attaque. Il sera moins coûteux de se remettre d'une attaque que de payer une rançon. Veillez donc à effectuer des sauvegardes régulières de vos systèmes critiques et à protéger ces sauvegardes contre l'effacement et le cryptage délibérés. Si possible, stockez les sauvegardes dans un espace de stockage immuable en ligne ou entièrement hors ligne ou hors site.
  • Renforcer la défense contre les attaques de rançongiciel : La menace multifacette de la nouvelle économie des rançongiciels et la nature insaisissable des attaques de rançongiciels exploités par des humains obligent les organisations à adopter une approche globale de la sécurité.

Les mesures décrites ci-dessus permettent de se défendre contre les schémas d'attaque courants et contribueront grandement à prévenir les attaques de rançongiciel. Pour renforcer encore les défenses contre les rançongiciels traditionnels et les rançongiciels exploités par des humains, ainsi que contre d'autres menaces, il convient d'utiliser des outils de sécurité capables d'offrir une grande visibilité sur l'ensemble du domaine et des capacités d'enquête unifiées.

Pour une meilleure vue d'ensemble des rançongiciels, avec des conseils et de meilleures pratiques pour la prévention, la détection et la correction, voir Protégez votre organisation des rançongiciels, et pour des informations encore plus approfondies sur les rançongiciels exploités par des humains, lisez l'article de Jessica Payne, chercheuse senior en sécurité, Ransomware-as-a-service : Understanding the cybercrime gig economy and how to protect yourself (Rançongiciel en tant que service : Comprendre l'économie parallèle de la cybercriminalité et comment s’en protéger).

Articles connexes

Numéro 2 de Cyber Signals : Extorsions économiques

Écouter les experts en première ligne sur le développement du rançongiciel en tant que service. Des programmes et charges utiles aux répartiteurs d’accès en passant par les affiliés, découvrez les outils, tactiques et cibles que les cybercriminels privilégient et obtenez une aide pour protéger votre organisation.

Profil d’expert : Nick Carr

Nick Carr, responsable de l’équipe Cybercrime Intelligence au Microsoft Threat Intelligence Center, présente les tendances dans le secteur des rançongiciels, explique les mesures prises par Microsoft pour protéger ses clients contre les attaques par rançongiciel et décrit les actions que peuvent prendre les entreprises ayant subi ce type d’attaque.

Protégez votre organisation contre les rançongiciels

Découvrez un aperçu des acteurs criminels qui opèrent dans l’économie souterraine des rançongiciels. Nous vous aiderons à comprendre les motivations et les mécanismes des attaques par rançongiciels et vous fournirons les meilleures pratiques pour la protection ainsi que pour la sauvegarde et la récupération.