Ransomwares en tant que service ou comment se faire piéger par procuration et sans effort, peut-on réellement lutter ?

150 000, c’est le nombre de détections de ransomwares chaque semaine, nous annonçait FortiGuard Labs dans un rapport publié en 2022. C’était sans compter sur l’hyper connectivité et l’adoption de nouveaux services cloud qui vont croissants sur toute la planète grâce à internet. Ce dernier devient progressivement aussi essentiel que l’eau ou l’électricité tant pour des besoins personnels, de travail ou de télétravail. Malheureusement, cet écosystème chaque jour un peu plus riche, attise toujours plus d’appétit et représente un véritable marché de niche, pour des produits d’un autre genre : les ransomware en tant que service (RaaS). Pour tous les pirates avec ou sans bagage technique, les solutions RaaS leur permettent d’exécuter des attaques par ransomware, on pourrait même dire une façon de se faire piéger et voir ses données prises en otage par procuration. Mais peut-on vraiment lutter ?

Comment ça marche ?

Le modèle économique du RaaS repose sur une hiérarchie organisationnelle au sommet de laquelle se trouve l’opérateur, celui qui met en vente le service. Le marché en la matière s’est tellement étoffé que les services proposés par les opérateurs sont très compétitifs, avec tout un écosystème autour, une offre complète autour de leurs « produits », comme le ferait toute entreprise normale soucieuse de son service client.

Pour accéder au service, les « clients » qui vont se positionner en réalité comme des partenaires cybercriminels, peuvent « s’abonner » suivant plusieurs formules :

• Abonnement mensuel pour un montant forfaitaire ;
• Programme d’affiliation, similaire à l’abonnement forfaitaire mensuel, mais avec reversement d’un pourcentage des bénéfices (entre 20 et 30 %, en général) à l’opérateur de RaaS ;
• Frais de licence uniques, sans participation aux bénéfices ;
• Partage des bénéfices uniquement.

Il va sans dire que l’accès au service peut se faire gratuitement, le pirate devant surtout se concentrer sur une bonne « étude de marché » en ciblant des victimes, pour déployer le protocole d’attaque et payer plus tard. Il faut tout de même noter que si l’abonnement est gratuit, la validation du partenariat est loin d’être évidente avec des exigences rigoureuses, sans aucun doute pour filtrer les « taupes ».

Un tel modèle de l’horreur a de quoi amplifier le phénomène des attaques par ransomware, en faisant abstraction de la couche technique pour la rendre accessible à une base plus importante d’internautes malveillants qui n’auront dès lors, qu’à se concentrer sur les phases de collecte d’informations et de ciblage.

Parmi les RaaS les plus courants on peut citer :

• LockBit ;
• BlackCat ;
• Hive ;
• Dharma ;
• DarkSide ;
• REvil et bien d’autres.

Comment lutter ?

Avec les RaaS la vigilence doit monter d’un cran mais en suivant les bonnes pratiques utiles pour tout type de ransomware. Il est évident qu’entre un ransomware classique et celui déployé via un service cloud, la différence ne se situe qu’au niveau de la production, les RaaS étant beaucoup plus prolifiques. Pour lutter, il faudrait donc savoir prévenir et réagir en cas d’attaque.

La prévention

Le but de la prévention est d’empêcher à un attaquant de pénétrer son système, déployer son malware, faire en sorte qu’il ne s’exécute pas sur le terminal pris pour cible, et encore moins qu’il ne contamine d’autres machines. Pour ce faire :  

1. Ne jamais cliquer sur les liens non vérifiés, les faire analyser ainsi que les pièces-jointes envoyés par mails en se servant d’une solution antivirale : généralement dispatchés via les mails, les liens et les pièces jointes non vérifiés sont une source courante de propagation de malwares. Il faudra au préalable se servir d’une solution antivirale capable d’agir sur sa boîte mail et qui devra inspecter tous les mails entrants. Reportez-vous pour cela à la documentation de votre éditeur d’antivirus ou de votre cellule informatique, si vous êtes en entreprise pour savoir si une solution antivirale est active au niveau du serveur de messagerie. Par ailleurs, certaines gammes d’antivirus vous assistent dans votre navigation sur internet, en pré-analysant tous les liens qui vous sont proposés dans un premier temps au niveau des résultats fournis par un moteur de recherche, et par la suite, dans la page web que vous avez décidé d’ouvrir. De plus, une solution antivirale agit directement sur votre système en analysant les fichiers présents sur le disque dur, ainsi que les programmes qui demandent à être exécutés et ceux qui s’exécutent effectivement.  
2. Installer des pare-feu. Encore appelés firewalls, ils peuvent aider à protéger votre réseau local domestique ou d’entreprise. Ils ont pour rôle d’analyser le trafic sortant et surtout en provenance d’internet. Ce faisant, le trafic suspect mêlant la propagation et le fonctionnement d’un ransomware pourra être bloqué. Toutefois à l’instar des antivirus, les firewalls évoluent et s’adaptent sans cesse aux nouvelles formes de menaces. Il faudra donc veiller à s’arrimer aux dernières générations.
3. Télécharger uniquement à partir de sites de confiance. S’il est vrai que l’usage d’une solution antivirale a été mentionné comme l’une des premières mesures préventives, cela ne veut pas dire que la vigilance humaine devrait s’estomper, en se disant que l’antivirus fait tout le job. Certains sites peuvent sembler bienveillants au premier regard, alors que les hackers perfectionnent sans cesse leurs techniques qui pourraient le temps d’une mise à jour, dépasser les capacités d’analyse d’un antivirus. C’est en cela qu’il faudra veiller à ne faire de téléchargements que sur des sites de confiance ; toujours vérifier le lien du site, le certificat numérique qui lui est associé (bien évidemment un site en http simple et non en https ne vaut pas la peine). Pour aller plus loin, certains sites prévoient des signatures permettant de s’assurer que le fichier finalement téléchargé sur son disque dur n’a pas été corrompu. Je reviendrais dans une prochaine publication sur l’usage des signatures numériques pour vérifier l’intégrité d’un fichier.
4. Faire des sauvegardes régulières parce que le ransomware a pour objectif de prendre vos données en otage. Mais avec une copie des plus à jour, aurait-il encore un moyen de pression ? Non du tout. Ainsi, plus vos sauvegardes dans un service cloud, un dispositif de stockage externe (hors réseau susceptible d’être infecté) sont régulières, plus vous saurez être à l’abris du chantage d’un attaquant qui ne pourra que se réjouir d’avoir réussi une attaque, mais sans véritable moyen de pression pour vous faire passer à la caisse.
5. Utiliser un VPN lors de l’utilisation d’un Wi-Fi public. Bien que pratique et attractif, méfiez-vous du « moins cher » et du gratuit. Il se peut que non loin de vous dans un aéroport, au restaurant, dans le bus, au supermarché, dans un service public, se trouve également un hacker capable d’intercepter vos données. Mais avec un VPN (Virtual Private Network ou réseau privé virtuel), vous pouvez vous créer un tunnel sécurisé rendant votre connexion plus sûre.
6. Ne pas utiliser de périphériques USB inconnus. Sont notamment concernés : les clés USB, disques durs externes, cartes SD, micro-SD. Les périphériques USB qui se connectent à votre ordinateur ne doivent provenir que d’une source connue. Se permettre de jouer aux aventuriers indiscrets pourrait vous exposer à de l’ingénierie sociale. Les périphériques de nouvelles connaissances, ceux trouvés ou offerts à tout hasard sont à manier avec soin, si possible sur une machine ne contenant pas de données critiques et équipée d’une solution antivirale.
7. Éviter de partager ses données personnelles :  dans la continuité du point précédent, l’ingénierie sociale rentre également en jeu ici. Avec les données personnelles que vous avez communiqué en toute insouciance autour d’un café, à cause d’un large sourire, des compliments, flatteries ou en présence d’une personne « cool », un cybercriminel peut vous amener à installer vous-même un ransomware sur votre appareil. Ohh, d’aucuns disent qu’il n’y a rien de grave avec les noms de personnes, d’animaux de compagnie, les dates d’anniversaires, les noms des enfants, les pseudos d’amoureux, des lieux de choix particulièrement appréciés, etc. Mais quelques petites questions : sur quoi vous basez-vous souvent pour retenir vos mots de passe ? Etes-vous sûr d’avoir déjà habitué votre cerveaux à faire des compositions les plus complexes et aléatoires possibles ? Et pis encore, combien êtes-vous à avoir des mots de passe différents pour chacun de vos comptes sur internet ? Si ces questions vous parlent, alors vous avez déjà mesuré l’importance de ce point.

En cas d’attaque, comment réagir ?

IsISuR pour faire un peu de mnémotechnique, est une petit mot clé qui peut vous aider à garder en tête les 4 étapes cruciales suivantes (Isoler, Identifier, Supprimer, Récupérer). La 5^ème et dernière comme vous pourrez le constater, ne pourra dramatiquement être envisageable que si vous n’avez pas bien su mettre en œuvre les bonnes pratiques de prévention sus-évoquées :

1. Isoler pour empêcher la propagation du ransomware au sein du réseau en débranchant tous les câbles réseau raccordés à l’appareil, et en désactivant le Wi-Fi qui dessert la zone infectée par le ransomware.
2. Identifier le type de malware utilisé pour infecter votre système avec un ransomware, dans l’optique d’avoir suffisamment de données sur lui et faire une recherche à propos.  Dans certains cas, les clés de décryptage sont déjà connues, ce qui pourra donc vous être fort bénéfique pour remédier à la situation.
3. Supprimer le malware ayant servi de vecteur d’attaque uniquement après les étapes précédentes car, en les ignorant, vous courez le risque que d’autres machines connectées à votre réseau soient également infectées.
4. Récupérer les données si elles ont été préalablement sauvegardées comme nous l’avons souligné dans les mesures préventives.
5. Ne jamais payer la rançon si toutes les étapes précédentes ont été bien menées sinon, vous devrez être en mesure de peser les conséquences avant de prendre une décision définitive, en intégrant le fait que l’attaquant pourrait ne pas respecter sa parole, vous pourriez être catalogué comme un « bon client », prenable pour une prochaine attaque.

Les ransomwares en tant que service représentent le revers des avancées technologiques liées au cloud computing. L’ingéniosité derrière un tel déploiement est à la hauteur de l’horreur qu’ils représentent, à l’image d’une arme de pointe qu’on met à la disposition de tout le monde. Le pire c’est qu’aucun capital de départ et aucune connaissance technique ne sont nécessaires, il suffit juste d’avoir un feeling et une âme douteuse pour devenir partenaire. Toutefois, l’amplification d’une telle menace criminelle ne devrait en aucun cas émousser les esprits aguerris. Les bonnes pratiques énoncées dans ce post, devraient simplement faire l’objet d’une attention des plus relevées, surtout en ce qui concerne les sauvegardes. En les appliquant, n’oubliez pas vos proches et vos collègues car comme vous le savez, cet article n’est pas réservé aux seuls initiés. Partagez …

Références :

• https://www.kaspersky.fr/resource-center/definitions/what-is-ransomware-as-a-service
• https://www.fortinet.com/fr/resources/cyberglossary/how-to-prevent-ransomware
• https://www.crowdstrike.com/fr-fr/cybersecurity-101/ransomware/ransomware-as-a-service-raas/