Le sujet des ransomwares se retrouve sur toutes les lèvres dès lors que l’on évoque les menaces cyber auxquelles pourraient être confrontées les entreprises en 2021. Plus ambitieux que jamais, les attaquants vont jusqu’à créer leur propre marque, tandis que les annonces d’entreprises victimes de ransomwares continuent de faire régulièrement la une. Mais en se mettant sous le feu des projecteurs, ces groupes cachent la véritable complexité de l’écosystème des ransomwares. Pour aider les entreprises à comprendre comment fonctionne cette nébuleuseet comment la combattre, les chercheurs Kaspersky se sont intéressés aux forums hébergés sur le darknet et ont enquêté sur les gangs tels que REvil et Babuket publient un nouveau rapport qui démystifie certains mythesà propos des ransomwares. Car si l’on y regarde de plus près, on découvre un univers aux multiples visages.
Un écosystème de services, bien organisé où chacun tient son rôle.
Comme tout secteur d’activité, l’écosystème des ransomwares comprend une multituded’acteurs qui jouent différents rôles. Contrairement à la croyance selon laquelle les cybercriminels sont regroupés en gangs très soudés qui partagent tout et obéissent à un chef, la réalité est plus proche du film The Gentlemen de Guy Ritchie. La plupart des attaques font intervenir un nombre important d’acteurs différents — développeurs, botmasters, vendeurs d’accès ou opérateurs de ransomwares — qui se rendent mutuellement service via des places de marché hébergées sur le darkweb.
Ces acteurs échangent par le biais de forums spécialisés sur le darknet, où des offres de services et de partenariats sont régulièrement postées. Les gros bonnets qui opèrent de façon autonome ne fréquentent pas ce type de sites, mais des groupes connus tels que REvil, qui ont ciblé un nombre croissant d’entreprises au cours des derniers trimestres, publient régulièrement leurs offres et leurs actualités au moyen de programmes d’affiliation. Les contrats de ce type supposent un partenariat entre l’opérateur du groupe de ransomwares et un affilié, l’opérateur percevant une marge de 20 à 40 % et l’affilié les 60 à 80 % restants.
REvil annonce une nouvelle fonctionnalité permettant d’interpeller les médias et les partenaires de la cible pour accentuer la pression en vue d’obtenir le paiement de la rançon
Exemple d’offrespécifiant les conditions de paiement d’un programme d’affiliation
Des affiliés choisis avec soin et des victimes choisies à l’opportunité.
Les affiliés sont recrutés selon un processus bien huilé dont les règles de base sont fixées dès le départ par les opérateurs de ransomwares. Ces règles peuvent notamment imposer des restrictions géographiques ou véhiculer une idéologie politique. Les victimes, en revanche, sont choisies de manière opportuniste.
Comme les individus qui s’attaquent aux entreprises et ceux qui opèrent les ransomwares appartiennent à des groupes distincts, formés uniquement par l’appât du gain, les entreprises ciblées sont souvent les plus faciles à atteindre – celles que les pirates peuvent infiltrer sans difficultés. Ceux-ci peuvent être des acteurs rattachés aux programmes d’affiliation ou des opérateurs indépendants, qui revendent ensuite l’accès au réseau des entreprises par le biais d’enchères ou à prix fixe à partir de 50 USD. Bien souvent, ces attaquants sont des propriétaires de botnets qui travaillent sur des campagnes de grande ampleur et vendent l’accès aux machines des victimes par « lots ». Il peut également s’agir de « revendeurs d’accès » qui traquent les vulnérabilités offertes par les logiciels exposés à Internet, telles que les applications VPN ou les passerelles de messagerie, véritables portes d’entrée au réseau des entreprises.
Communiqué