RaaS

Ransomware as a service (RaaS) est un rançongiciel développé par des cybercriminels et revendu à d’autres acteurs de la menace n’ayant pas de compétences en programmation qui leur permettraient de lancer eux-mêmes des attaques de ransomware. Le RaaS est très populaire chez les cybercriminels car il est prêt à l’emploi. Son usage ne nécessite pas de connaissances ou d’expériences particulières en programmation.

Le logiciel RaaS est vendu sur des forums et des marchés clandestins, où les cybercriminels peuvent le télécharger moyennant des frais. Une fois qu’ils ont acheté le logiciel, ils peuvent l’utiliser eux-mêmes ou le vendre à d’autres personnes. Dans ce glossaire, nous fournirons une analyse complète et approfondie du RaaS, y compris son histoire, son évolution, son modèle commercial et son impact sur les entreprises et les particuliers. Nous offrirons également des conseils pratiques sur la façon de se protéger contre les attaques RaaS et d’atténuer leurs effets.

Quel est le business model des Ransomware-as-a-service ?

RaaS fonctionne en fournissant aux cybercriminels un accès à des ransomware qu’ils peuvent utiliser pour infecter et chiffrer les fichiers de leurs victimes. Les cybercriminels exigent alors le paiement d’une rançon en échange de la clé de décryptage. Les fournisseurs de RaaS prennent généralement un pourcentage du paiement de la rançon comme frais.

L’économie du RaaS est attrayante pour les cybercriminels car elle leur permet d’externaliser les aspects techniques de l’attaque, tels que le développement et la distribution du ransomware, tout en étant en mesure de tirer profit de l’attaque. Les fournisseurs de RaaS offrent également un support technique et un service client à leurs clients, ce qui leur permet de mener plus facilement des attaques réussies.

Le Dark web : une source déterminante pour une CTI actionnable.

Visionnez le replay

Comment fonctionne le ransomware as a service ?

Le RaaS fonctionne généralement en permettant aux attaquants de louer des kits de ransomware et même d’accéder à un serveur de commande et de contrôle. L’attaquant peut ensuite utiliser ces ressources pour lancer des attaques de ransomware contre des victimes sans méfiance. En outre, RaaS peut également fournir aux attaquants un accès à un portail de paiement, leur permettant de collecter les paiements de rançon des victimes. En tant que tel, le RaaS est un outil puissant permettant aux acteurs malveillants de lancer des attaques de ransomware et d’extorquer des victimes.

Au 1ᵉʳ trimestre 2023, Sekoia.io observé des dizaines de publications de recrutement RaaS sur des forums de cybercriminalité tels que RAMP, Exploit, XSS et Breach. Les opérateurs de ransomware exploitent ces forums principalement pour recruter des affiliés afin de distribuer leurs ransomware personnalisés, mais également pour recruter des partenaires ayant des compétences spécifiques, telles que l’escalade des privilèges de domaine, susceptibles de combler un manque de compétences au sein du groupe ou pour une mission à court terme. Ils fournissent généralement aux affiliés un kit post-compromis avancé en échange d’une commission de paiement de rançon.

Pour en savoir plus sur les programmes RaaS les plus importants lancés sur les forums de cybercriminalité RAMP et XSS entre janvier et juin 2023, consultez cet article de notre équipe TDR.

Quelques exemples de Ransomware as a service

Les opérateurs RaaS les plus connus sont LockBit, BlackCat, BlackByte, Black Basta, RagnarLocker, Cuba et Hive. Ces variantes de ransomware ont été utilisées pour cibler des organisations dans de nombreux pays à travers le monde. Ils cryptent généralement les données de la victime et exigent le paiement d’une rançon en échange de la clé de décryptage. Il est important de noter que le paiement de la rançon ne garantit pas que les données seront récupérées. Il est donc important de prendre les mesures nécessaires pour prévenir les attaques de ransomware.

Découvrez Sekoia.io plateforme SOC via une démonstration interactive.

Quels impacts du ransomware as a service sur les entreprises ?

L’usage des RaaS peuvent avoir un impact significatif sur les entreprises. Le coût d’une attaque RaaS peut être considérable. Certaines victimes payant des centaines de milliers, voire des millions de dollars en rançon. Les attaques effectuées à partir de RaaS peuvent également perturber considérablement les opérations commerciales et entraîner la perte de données critiques.

Les attaques réalisées à partir de RaaS ne se limitent pas à une industrie ou à un secteur spécifique. Mais certaines industries sont plus vulnérables que d’autres. Par exemple, les organisations de soins de santé, de transport, de l’énergie et les institutions financières sont souvent ciblées en raison de la nature sensible des données qu’elles traitent.

L’impact psychologique d’une attaque RaaS peut également être important. L’attaque peut causer des dommages à long terme à leur réputation et à leur confiance dans leur organisation.

Comment se protéger contre les attaques de ransomware as a service ?

La prévention des attaques RaaS nécessite une approche multicouche qui comprend des mesures techniques et non techniques. Les meilleures pratiques pour prévenir les attaques RaaS sont les suivantes :

Sauvegarde régulière des données critiques
Mise en œuvre de solutions avancées de détection et de réponse sur les terminaux
Utilisation la Cyber Threat Intelligence, les solutions XDR pour anticiper la détection et la remediation des menaces avancées.
Mise en œuvre de règles de réduction de la surface d’attaque et gestion des risques
Sensibilisation des employés sur la façon de reconnaître et d’éviter le phishing et les attaques de compromission des e-mails professionnels

Conclusion

Le ransomware as a service est une menace croissante qui ne disparaîtra probablement pas de sitôt. L’économie du RaaS en fait une option attrayante pour les cybercriminels et l’impact des attaques effectuées à partir de RaaS peut être important. Il est important pour les entreprises de rester vigilantes et de prendre des mesures proactives pour se protéger contre ces attaques. En mettant en œuvre les meilleures pratiques en matière de cybersécurité et en répondant rapidement aux attaques, les organisations peuvent réduire leur risque d’être victimes du RaaS.

Autres termes

Calisto

DDoSia

RDDoS

Autres termes

RDDoS(Ransom Distributed Denial of Service)

Ransom Distributed Denial of Service est une forme de campagne cyber malveillante visant à effectuer un déni de service jusqu’à ce qu’une rançon soit payée.

DDoSia(Boîte à outils d’attaque par déni de service (DDoS))

DDoSia project est une boîte à outils d’attaque par déni de service (DDoS), développée et utilisée par le groupe nationaliste hacktiviste pro-russe NoName057 (16) contre les pays critiques envers l’invasion russe de l’Ukraine.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Contactez-nous

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !

Contact us

Cookie	Durée	Description
__hssrc	session	Ce cookie est réglé par Hubspot. Selon leur documentation, chaque fois que HubSpot change le cookie de session, ce cookie est également défini pour déterminer si le visiteur a redémarré son navigateur. Si ce cookie n’existe pas lorsque HubSpot gère les cookies, il est considéré comme une nouvelle session.
cookielawinfo-checkbox-advertisement	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Ces cookies sont définis par GDPR Cookie Consent WordPress Plugin. Le cookie est utilisé pour mémoriser le consentement de l’utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Les cookies sont utilisés pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-performance	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Le cookie est utilisé pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Performance".

Cookie	Durée	Description
__hssc	30 minutes	Ce cookie est défini par HubSpot. Le but du cookie est de garder une trace des sessions. Ceci est utilisé pour déterminer si HubSpot doit incrémenter le numéro de session et les horodatages dans le cookie __hstc. Il contient le domaine, viewCount (incréments de chaque page dans une session), et l’horodatage de début de session.
bcookie	2 ans	Ce cookie est défini par linkedIn. L’objectif du cookie est d’activer les fonctionnalités LinkedIn sur la page.
lang	session	Ce cookie est utilisé pour stocker les préférences linguistiques d’un utilisateur pour diffuser du contenu dans cette langue stockée la prochaine fois que l’utilisateur visite le site Web.
lidc	1 jour	Ce cookie est défini par LinkedIn et utilisé pour le routage.
pll_language	1 an	Ce cookie est défini par Polylang plugin pour les sites web WordPress. Le cookie stocke le code de langue de la dernière page consultée.

Cookie	Durée	Description
__hstc	1 an et 24 jours	Ce cookie est défini par Hubspot et est utilisé pour le suivi des visiteurs. Il contient le domaine, utk, l’horodatage initial (première visite), l’horodatage dernier (dernière visite), l’horodatage actuel (cette visite) et le numéro de session (incréments pour chaque session suivante).
_ga	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données des visiteurs, des sessions, des campagnes et pour suivre l’utilisation du site pour le rapport d’analyse du site. Les cookies stockent les informations de manière anonyme et attribuent un numéro généré aléatoirement pour identifier les visiteurs uniques.
_gat_gtag_UA_152945562_1	1 minute	Ce cookie est défini par Google et est utilisé pour distinguer les utilisateurs.
_gcl_au	3 mois	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 jour	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport analytique sur la façon dont le site Web se comporte. Les données recueillies, y compris le nombre de visiteurs, la source d’où ils viennent, et les pages visitées sous une forme anonyme.
hubspotutk	1 an et 24 jours	Ce cookie est utilisé par HubSpot pour garder une trace des visiteurs du site. Ce cookie est transmis à Hubspot lors de la soumission des formulaires et utilisé lors de la déduplication des contacts.

Cookie	Durée	Description
bscookie	2 ans	Ce cookie est un cookie d’identification de navigateur défini par les boutons de partage LinkedIn et les balises publicitaires.
Inbound Converter	2 ans	Ce script communique à TechTarget les comptes qui, sur la base d'une recherche IP inversée, ont visité le site Web. Les informations transmises sont les suivantes : URL de la page, horodatage de la visite et l'adresse IP.
test_cookie	15 minutes	Ce cookie est défini par doubleclick.net. L’objectif du cookie est de déterminer si le navigateur de l’utilisateur supporte les cookies.

Cookie	Durée	Description
AnalyticsSyncHistory	1 mois	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Fonctionnel".
cookielawinfo-checkbox-others	1 an	Pas de description.
li_gc	2 ans	Pas de description.
UserMatchHistory	1 mois	Linkedin - Utilisé pour suivre les visiteurs sur plusieurs sites Web, afin de présenter une publicité pertinente en fonction des préférences du visiteur.