Rapport : Ransomware-as-a-Service est une « industrie autonome »

Un nouveau rapport a révélé les subtilités de l'écosystème des ransomwares sur Internet, concluant que les acteurs travaillant aux côtés de groupes de ransomwares exigent plus d'attention qu'ils n'en reçoivent actuellement.

Le rapport détaille comment les acteurs de la menace déploient une myriade de techniques d'extorsion - souvent en tandem - afin de forcer les entreprises à négocier et finalement à payer des frais pour protéger et/ou récupérer leurs données.

En comprenant les vecteurs d'attaque les plus couramment utilisés par les groupes de rançongiciels, les entreprises peuvent prendre des mesures pour se protéger. Les gestionnaires de mots de passe , par exemple, sont un moyen de s'assurer que les employés de votre entreprise ne fournissent pas un moyen facile d'accéder à des informations d'identification de compte faibles.

Le ransomware en tant que service est en plein essor

Le rapport de Tenable explique que l'une des principales raisons du récent boom des ransomwares est "l'avènement du ransomware-as-a-service (RaaS)".

Essentiellement, RaaS est un modèle de service, tout comme Software-as-a-Service. Les groupes de rançongiciels fabriquent le logiciel, mais d'autres acteurs finissent par s'introduire dans les systèmes et le déploient.

Avant cela, c'étaient les groupes de rançongiciels eux-mêmes qui effectuaient toutes les actions du processus, mais maintenant, le système est infiniment plus complexe et il existe différentes étapes au cours desquelles les petits acteurs peuvent gagner de l'argent.

L'écosystème des rançongiciels expliqué

Tenable explique que l'écosystème des ransomwares n'est surtout pas composé uniquement de groupes de ransomwares. Les groupes de ransomwares sont les créateurs et les propriétaires du « produit » et reçoivent à leur tour une grande partie de l'attention, mais dans l'ensemble, la société identifie trois « rôles » principaux qui jouent un rôle dans la plupart des attaques de ransomwares : les IAB, les affiliés et les groupes de ransomwares.

Les courtiers en accès initial (IAB) sont un « groupe spécialisé de cybercriminels chargés d'accéder aux organisations par divers moyens ».

Au lieu d'utiliser leur accès injustifié pour orchestrer leur propre attaque de ransomware, explique le rapport, les IAB "maintiennent la persistance au sein des réseaux des organisations victimes et la vendent à d'autres individus ou groupes au sein de l'écosystème de la cybercriminalité".

Le marché des IAB valait 1,6 million de dollars en 2019, mais est passé à 7,1 millions de dollars en 2021 (Groupe-IB). C'est un chiffre beaucoup plus petit que l'argent gagné ailleurs dans la chaîne des ransomwares, simplement parce qu'il y a beaucoup moins de risques.

Le marché des Initial Access Brokers (IAB) valait 1,6 million de dollars en 2019, mais est passé à 7,1 millions de dollars en 2021 – Group-IB

Après l'intrusion des IAB, des acteurs connus sous le nom d'affiliés achèteront l'accès qu'ils ont miné pour quelques centaines à quelques milliers de dollars. Alternativement, ils utiliseront des vecteurs d'attaque tels que les systèmes de protocole de bureau à distance de force brute, le phishing, les vulnérabilités du système ou les informations d'identification volées pour pénétrer dans les serveurs de l'entreprise.

Le rapport indique que ces acteurs fonctionnent un peu comme des spécialistes du marketing affilié qui trouvent des pistes dans des pratiques commerciales normales et légitimes - ils infectent le système et laissent le groupe de rançongiciels "conclure l'affaire" et lancer le processus de négociation.

Les affiliés sont souvent sous les instructions de groupes de rançongiciels eux-mêmes, aidant à tester et à utiliser leurs créations.

Comment l'extorsion "double", "triple" et "quadruple" fait payer les entreprises

Traditionnellement, les groupes de rançongiciels cryptaient les fichiers d'une entreprise et les faisaient payer pour les décrypter. Mais de nos jours, la plupart des entreprises disposent de sauvegardes de fichiers sécurisées, cette méthode est donc devenue de plus en plus inefficace.

Au cours des dernières années, cependant, la « double extorsion » est devenue la norme pour de nombreux groupes de rançongiciels. Cela consiste à "exfiltrer les données des organisations de victimes et publier des teasers" sur les forums du dark web et les sites de fuites. Les entreprises terrifiées à l'idée que des informations privées et confidentielles soient divulguées en ligne paient par la suite.

En 2021, REvil a obtenu un paiement de 11 millions de dollars de JBS, bien que le système de l'entreprise soit "pleinement opérationnel" au moment du paiement.

Cependant, cette tactique a maintenant plusieurs années, et Tenable dit que d'autres techniques sont utilisées en tandem les unes avec les autres dans des tentatives d'extorsion "triple" voire "quadruple".

Les méthodes consistent à contacter les clients auxquels les données volées font référence, à menacer de vendre les données volées aux plus offrants et à avertir les victimes de ne pas contacter les forces de l'ordre.

Se concentrer au-delà des groupes de ransomwares

Le rapport suggère que le rôle crucial que jouent les IAB et les affiliés au sein de l'écosystème des rançongiciels devrait faire l'objet d'une plus grande attention.

Les groupes de ransomwares sont, par essence, impermanents. Plus ils ont de succès, plus les affiliés veulent se tourner vers eux et utiliser leur logiciel, mais ensuite, à leur tour, plus les forces de l'ordre tentent de les retrouver.

De nombreux groupes de rançongiciels "infâmes" qui font la une des journaux aujourd'hui, comme le groupe Conti , sont les successeurs d'autres groupes de rançongiciels. Si vous commenciez une enquête sur un groupe, il pourrait même ne plus exister dans un an. Cependant, les IAB et les affiliés le feront.

Que peuvent faire les entreprises pour se protéger ?

Tenable propose un certain nombre de mesures d'atténuation différentes que les entreprises peuvent prendre pour s'assurer qu'elles ne sont pas les prochaines victimes d'une attaque de rançongiciel extorsionnaire. Celles-ci incluent l'utilisation de l'authentification multifacteur, l'audit continu des autorisations des utilisateurs pour les comptes, la correction des actifs vulnérables de votre réseau, le renforcement des protocoles de bureau à distance et l'utilisation d' un logiciel antivirus approprié .

La liste comprend également le renforcement des mots de passe de vos employés et indique que « les exigences en matière de mots de passe incluent des mots longs et non issus du dictionnaire ». Une façon de s'assurer que les mots de passe sont suffisamment longs sans avoir à s'en souvenir est d'utiliser un gestionnaire de mots de passe , qui permettra également à votre personnel de créer des mots de passe uniques pour tous les comptes qu'ils possèdent plutôt que de les réutiliser.

Avec le marché du RaaS - et les groupes malveillants qui y participent - ne montrant aucun signe de ralentissement, prendre les plus grandes précautions avec vos données n'a jamais été aussi important.