Flexible Security for Your Peace of Mind

Dans les coulisses du Ransomware-as-a-Service 

Les attaques de ransomware se développent à un rythme alarmant grâce aux opérations de Ransomware-as-a- Service (RaaS). Dans notre article, vous découvrirez ce qu’est le RaaS et comment les acteurs de la menace opèrent ces attaques. Nous vous expliquerons pourquoi l’attribution des ransomwares est un problème industriel et quelle mesures préventives vous devriez mettre en place afin de protéger votre organisation.

Introduction

En tant qu’enteprise du secteur, nous surveillons en permanence la façon dont les groupes de ransomware attaquent et qui sont leurs nouvelles victimes. Pour ce faire, nous surveillons leurs sites de fuite, nous documentons la manière dont ils mènent leurs attaques (tactiques, techniques et procédures ou TTP) et nous analysons leurs outils. Cependant, nous oublions parfois de nous pencher sur la manière dont tous ces groupes travaillent en coulisses, sur le type de ressources qu’ils utilisent avant et après une attaque – qu’il s’agisse de services d’affiliation ou de plateformes de « soutien à la clientèle ».

Lors de la récente conférence Rootedcon en Espagne, nous avons mené une conférence sur le sujet, et ce billet de blog est un résumé des idées que nous y avons présentées sur le Ransomware as a Service (RaaS). Comment fonctionne-t-il réellement ? Comment les acteurs de la menace opèrent-ils ces attaques ? Comment les organisations peuvent-elles analyser les attaques et en tirer des mesures préventives dans l’éventualité d’attaques futures ?

Nous avons également étudié en profondeur les activités d’un groupe RaaS particulièrement néfaste appelé Hive (parfois connu sous le nom de Hive Gang) ; le rapport détaillé sera publié sous peu, alors restez à l’écoute.

Ransomware ciblé

Comme nous l’avons mentionné dans l’article de blog sur l’histoire des ransomwares, l’écosystème des ransomwares a énormément évolué ces dernières années. L’exploitation d’un réseau de zombies bancaires a longtemps été le moyen le plus populaire de s’enrichir dans le monde de la cybercriminalité, jusqu’à ce que CryptoLocker soit démantelé en 2014 et que les révelations de Slavik soient publiées. Les cybercriminels ont alors compris que les ransomwares étaient une activité rentable, et c’est ainsi que leur boom a démarré.

Depuis lors, les acteurs de la menace ont adapté leurs outils, leurs techniques et leur offre de services souterrains pour mieux soutenir et lancer des attaques ciblées par ransomware. Les attaquants les plus avancés pénètrent méthodiquement les réseaux d’entreprise et s’y déplacent latéralement pour mieux étudier le(s) système(s). Le logiciel malveillant est ensuite déployé de manière précise car calculée afin d’entraver au maximum les activités de l’entreprise et ainsi maximiser les chances d’être payé.

Dans cette optique, les cibles des opérations de ransomware ont changé et ne sont plus les utilisateurs domestiques, mais bien les grandes entreprises, capables de payer des montants de rançon beaucoup plus élevés. Ce changement est né avec quelques familles de ransomwares comme BitPaymerBitPaymer en 2017. Les ransomwares ciblés sont aujourd’hui largement répandus.

Image 1. Graphique montrant le déroulement d’une attaque ciblée par ransomware

Les attaquants les plus avancés utilisent souvent leurs propres familles de ransomwares. Toutefois, cela permet de remonter facilement à la source et de l’imputer aux auteurs des attaques. En 2019, le FBI annonce des sanctions à l’encontre d’Evil Corp, un groupe basé en Russie, après l’avoir identifié comme coupable de l’utilisation massive d’attaques de logiciels malveillants basés sur DRIDEX.

Afin de mieux dissimuler ses traces et d’éviter d’autres sanctions, le groupe a alors adopté une nouvelle stratégie : recourir continuellement à différentes familles de logiciels malveillants. Parmi lesquels on peut notamment citer BitPaymer, WastedLockerHades, Phoenix Locker, PayloadBIN et Macaw Locker.

Mandiant a récemment découvert de multiples intrusions de Lockbit, une offre RaaS, qu’il a attribuée à Evil Corp. Bien que cela ne corresponde pas au mode d’action traditionnel de ce groupe, cela met en évidence un changement potentiel de stratégie pour le groupe, qui essaie de diminuer le risque de se voir sanctionner.

À l’exception d’Evil Corp, la majorité des acteurs de la menace qui mènent des attaques ciblées utilisent aujourd’hui des offres de Ransomware-as-a-Service (RaaS) pour mettre la main sur la binarité du ransomware. Le RaaS est aujourd’hui – et de loin – le business model le plus populaire, car il permet aux cybercriminels de mettre rapidement en place leurs opérations d’attaque.

Ransomware-as-a-service

Le Ransomware-as-a-service (RaaS) est une version plus spécialisée de l’ancien modèle Malware-as-a-service (MaaS), dans lequel un prestataire fournit à un client le binaire du logiciel malveillant, l’accès au backend pour gérer le botnet et, dans certains cas, d’autres services supplémentaires. Dans le cas de RaaS, la seule différence est que les logiciels malveillants fournis appartiennent exclusivement à la famille des ransomwares.

Différents acteurs sont impliqués dans le modèle RaaS, comme le montre le graphique suivant :

Image 2. Graphique illustrant le modèle « Ransomware-as-a-Service » (RaaS)

Administrateurs

(Image 2 en orange)

Les administrateurs fournissent aux affiliés l’accès aux logiciels malveillants, l’infrastructure et parfois même un soutien dans les négociations avec les victimes. Selon le groupe, l’infrastructure peut être différente, mais elle inclut en général un site de fuite sur lequel les informations sur les victimes peuvent être publiées, un portail d’affiliation où l’affilié gérera les victimes et générera des binaires de logiciels malveillants, le portail des victimes sur lequel les victimes devront se rendre afin de communiquer avec les cybercriminels, et parfois même quelques serveurs internes pour la communication interne (messagerie instantanée interne par exemple).

Les administrateurs recevront une part des opérations des affiliés (le ratio 80-20 est assez courant), mais ils n’attaqueront pas directement les victimes.

Vendeurs

(Image 2 en bleu)

Si l’offre RaaS est privée, les négociations se feront par le biais de messages privés dans des forums ou des chats IM, et ne seront accessibles qu’à certains cybercriminels jouissant d’une réputation particulière. Le reste des offres RaaS doit être annoncé aux « clients » potentiels et c’est là que vendeurs et revendeurs interviennent.

Ces acteurs seront chargés de gérer l’aspect « commercial » de l’opération et de recruter de nouveaux affiliés en faisant la publicité du RaaS sur les forums clandestins.

Dans ce contexte, il est important de souligner que les conversations sur les ransomwares ont été bannies des forums clandestins populaires, comme Exploit ou XSS, en mai 2021. Cette décision résulte principalement de la pression exercée par les autorités politiques et policières sur les opérateurs de ransomwares et à la crainte d’une fermeture des forums. D’autres raisons sont plus philosophiques. Par exemple, l’administrateur de XSS a fait valoir que le modèle RaaS nuisait à l’innovation au sein de la communauté cybercriminelle et que cela constituait une bonne raison pour l’interdire.

Image 3. Administrateur XSS annonçant le bannissement du ransomware et donnant des explications

Dans l’écosystème souterrain, il est d’usage que lorsqu’un service ou un forum disparaît, un autre le remplace dès le lendemain. C’est ce qui s’est passé avec l’interdiction des conversations sur les ransomwares. En juillet 2021, un nouveau forum appelé RAMP apparaît, sur lequel les annonces de ransomwares sont les bienvenues.

Affiliés

(Image 2 en or)

Les affiliés sont les véritables attaquants dans le cadre d’une opération de ransomware ciblée. Ils parviennent à accéder à l’organisation ciblée, par leurs propres moyens ou en utilisant des courtiers en accès initiaux, et à déployer le ransomware fourni par le RaaS. Ils doivent avoir suffisamment d’expérience pour se déplacer latéralement entre les systèmes, éviter les détections, exfiltrer les informations volées et déployer le ransomware dans plusieurs systèmes en même temps.

En fonction du programme RaaS choisi, les affiliés devront enregistrer leurs victimes, y compris les informations concernant la victime et l’opération, uploader les informations volées sur le site de fuite et se charger de la communication avec les victimes.

Courtiers en accès initial

(Image 2 en noir)

Les courtiers en accès initial (Initial Access Brokers – IAB) sont des acteurs de la menace qui, motivés financièrement, tirent profit de la vente d’accès à distance aux réseaux d’entreprise sur les forums clandestins comme Exploit ou XSS. Les types d’outils d’accès proposés sont principalement le protocole de bureau à distance (RDP), le réseau privé virtuel (VPN), les shells web et les outils logiciels d’accès à distance proposés par des sociétés telles que Citrix, Pulse Secure, Zoho, ou VMware. Cependant, les acteurs de la menace vendent également des informations et des outils pour réaliser des intrusions dans les entreprises par le biais d’injections SQL, d’exploitations d’exécution de code à distance (RCE) et d’autres vulnérabilités.

Image 4. Courtier en accès initial offrant l’accès à une entreprise espagnole pertinente pour l’affilié

En savoir plus sur la façon dont les groupes de ransomware utilisent les CCI

Les affiliés des offres RaaS peuvent utiliser les services des IAB pour faciliter et rationaliser les opérations de ransomware ciblées, de sorte à ce qu’ils n’aient plus qu’à se concentrer sur l’intrusion – l’accès initial et le logiciel malveillant leur ayant déjà été fournis. Les annonces des IAB détaillent le secteur d’activité, la localisation et le chiffre d’affaires des cibles afin que les affiliés puissent facilement choisir parmi elles.

Victimes

(Image 2 en vert)

Aucune personne ou organisation ne souhaite être la cible d’une attaque de logiciels malveillants, mais elle n’en a évidemment pas le choix et elle en est un élément essentiel. Sans ces victimes, ou « clients » comme les opérateurs de ransomware les appellent, ce modèle commercial ne fonctionnerait pas. Le modèle RaaS existe parce que les victimes paient : elles n’ont pas d’autre option si elles veulent avoir une chance de survivre à l’attaque. Pour certaines entreprises, même après avoir payé la rançon, l’accès à leurs systèmes et à leurs données n’est pas garanti. Qu’elles récupèrent ou non cet accès, elles courent toujours un risque important de faillite. Il ne s’agit pas seulement du coût de la rançon, mais aussi de dommages supplémentaires comme le coût du temps de mise à l’arrêt, une réputation entachée et bien d’autres choses encore.

RaaS et problèmes d’attribution

L’attribution des menaces est cruciale. L’analyse du qui, quoi, où, quand et comment exacts de l’attaque fournit des informations précieuses pour une meilleure prévention des attaques à l’avenir.

Comme nous l’avons expliqué ci-dessus, différents acteurs exécutent leur propre partition dans le modèle RaaS. La nature de ce business, dans lequel les actions sont réparties entre des acteurs différents et distincts, complique la tâche pour les analystes et les chercheurs qui tentent d’assembler les pièces de l’attaque et de la relier à un groupe en particulier. Bien sûr, nous pouvons attribuer des indicateurs de compromission (IOC) et des TTP à l’offre RaaS elle-même, ce que la plupart d’entre nous faisons, mais nous ne pouvons pas parler d’une attribution précise.

Dans la plupart des cas, les administrateurs RaaS n’attaquent pas directement les victimes, ils fournissent aux affiliés les éléments nécessaires pour mener à bien l’attaque ciblée. Cela signifie que l’attribution devrait pointer vers l’affilié et non vers le fournisseur RaaS.

Cependant, un affilié peut avoir utilisé l’aide d’un IAB pour accéder à l’organisation ciblée. Cela signifie que l’IAB a probablement scanné l’organisation à la recherche de failles de sécurité et peut-être même exploité une vulnérabilité spécifique. Dans ce cas, cette activité de scanner/exploitation sera attribuée à l’IAB, et non à l’affilié.

Décortiquons un exemple de déroulement d’une attaque :

  • L’acteur A s’introduit dans l’entreprise et vend l’accès à l’acteur B, une société affiliée à Lockbit ;
  • L’acteur B demande une nouvelle charge utile à déployer et infecte l’entreprise avec un ransomware ;
  • L’entreprise contacte Lockbit au sujet de l’infection ;
  • Lockbit apporte son soutien et supervise la transaction.

Voici quelques questions auxquelles il faudra répondre :

  • Compte tenu des éléments de référence récupérés lors de l’infection, lesquels appartiennent à qui ?
  • L’adresse IP figurant dans les journaux du pare-feu est-elle associée à l’acteur A ou à l’acteur B ?
  • La charge utile appartient-elle à Lockbit ou à l’acteur B ?

Idéalement, un analyste devrait pouvoir faire la différence entre tous ces comportements et CIO, et les attribuer correctement à l’acteur correspondant.

L’attribution des attaques de ransomware est extrêmement délicate car nous ne disposons pas de suffisamment d’informations pour retracer avec précision tous les éléments d’une attaque, et nous avons tendance à relier tous les indicateurs et comportements d’attaque au RaaS lui-même, ce qui crée probablement encore plus de confusion pour les analyses futures.

Conclusions

Connaître son ennemi est essentiel pour organiser efficacement sa défense. Les opérations ciblées de ransomware sont durablement implantées et elles continueront à menacer les entreprises sans distinction.

Comprendre comment ces groupes opèrent en coulisses, comment le modèle RaaS fonctionne avec ses différents acteurs et comment ces derniers négocient est une information que toute cible potentielle de ransomware devrait connaître. Les services de renseignement sur les menaces sont essentiels pour mieux connaître les attaquants susceptibles de cibler une organisation à l’avenir – ce qui permet d’atténuer autant que possible l’impact d’une attaque.

Le modèle RaaS rend encore plus difficile l’attribution des attaques, car les IOC et les TTP peuvent être attribués aux mauvais acteurs dans le schéma RaaS. Aucun fournisseur ne dispose d’une visibilité totale sur les menaces, et c’est pourquoi la collaboration entre les entreprises est extrêmement importante pour combler les lacunes et gagner ensemble la lutte contre les ransomwares.

(Dernière mise à jour le 23/03/2023)

Revenir sur le blog