La réalité du ransomware-as-a-service : Tout le monde est visé

03 mars 2022
  • IT
  • automobile

Oubliez le SaaS. Si vous voulez gagner de l'argent, le RaaS - ou ransomware-as-a-service - est la solution idéale. En 2021, les attaques de ransomware auront coûté 20 milliards de dollars au monde, frappant un pourcentage stupéfiant de 37 % de toutes les entreprises. « La professionnalisation du modèle économique signifie que ce ne sont plus seulement les entreprises du Fortune 500 qui doivent s'inquiéter des ransomwares », explique Wouter Hemeryck, expert en sécurité. « Même les plus petites entreprises sont désormais une cible ».

Tout d'abord, qu'est-ce que le ransomware-as-a-service (RaaS) ?

Wouter Hemeryck, expert en sécurité, explique : « Pour comprendre le RaaS, il faut d'abord savoir ce qu'est un ransomware. En termes simples, il s'agit d'un type spécifique de logiciel malveillant qui crypte les fichiers d'une organisation, les rendant illisibles. En échange de la clé de décryptage, l'organisation touchée doit payer une rançon à l'attaquant. Celle-ci peut s'élever à des millions de dollars. La demande de rançon la plus importante connue à ce jour a été adressée au géant de l'informatique Acer en mars 2021, par le célèbre groupe de pirates REvil (Ransomware Evil). Le montant de la rançon s'élevait à 50 millions de dollars. »

Wouter poursuit : « Ces dernières années, nous avons assisté à une augmentation exponentielle des attaques par ransomware. On s'attend à ce que le coût mondial des ransomwares atteigne 265 milliards de dollars d'ici 2031. L'une des principales raisons de ce phénomène est le ‘ransomware-as-a-service’. Comme vous l'avez peut-être deviné, le modèle économique est similaire à celui du logiciel en tant que service : des groupes de hackers professionnels, tels que REvil, DarkSide et d'autres, créent des ransomwares hautement sophistiqués et les franchisent aux mauvais acteurs. En contrepartie, ils reçoivent soit un prix fixe, soit un pourcentage de la rançon. Leurs services comprennent non seulement le ransomware lui-même, mais aussi des outils de cryptage et de collecte de la rançon, des modèles de communication et d'e-mail,... et même un service d'assistance 24h/24 et 7j/7. Ils ont vraiment tout prévu de bout en bout. »

 

Qu'est-ce qui rend le RaaS si dangereux ?

Wouter continue : « Le modèle RaaS signifie que ces groupes de hackers n'ont plus à rechercher activement des cibles. Au lieu de cela, ils peuvent se concentrer sur le développement de logiciels, de tactiques et de techniques de plus en plus sophistiqués. En outre, nous assistons à une montée en puissance du modèle de ‘double extorsion’, dans lequel les hackers menacent également de rendre publics des fichiers sensibles (exfiltration). Il existe même des extorsions triples et quadruples, qui incluent des attaques DDoS et une communication directe avec les clients ou d'autres parties prenantes. »

« Mais ce qui est peut-être encore plus crucial, c'est que l'émergence du RaaS signifie que chaque organisation, aussi petite soit-elle, est devenue une cible potentielle. Disons, par exemple, que vous dirigez une petite entreprise locale. Sans investir beaucoup de temps ou d'énergie, quelqu'un - des cybercriminels, ou un concurrent - pourrait mener une attaque par ransomware en utilisant les services de REvil. »

À quelle fréquence les entreprises paient-elles ?

Wouter : « L'essor des pratiques d'extorsion à plusieurs niveaux signifie que davantage d'organisations sont prêtes à payer. Comme le paiement de la rançon est en fait illégal dans de nombreux pays, il n'existe pas de chiffres exacts, mais les estimations indiquent que près d'un tiers des victimes finissent par payer. Il s'agit pour la plupart de petites entreprises, plus vulnérables à l'interruption d'un ou plusieurs services, ou qui n'avaient pas les ressources nécessaires pour mettre en place les systèmes de récupération requis. Mais les grandes entreprises ne sont pas non plus à l'abri. Rappelez-vous l'attaque contre le Colonial Pipeline aux États-Unis en mai 2021. »

Comment les ransomwares s'infiltrent-ils et comment les entreprises peuvent-elles se protéger ?

Wouter : « Il y a beaucoup de points d'entrée potentiels, depuis les emails et les brokers jusqu'au piratage actif via le bourrage de mots de passe. Les appareils IoT sont également de plus en plus visés, car ils partagent souvent le même réseau que d'autres infrastructures informatiques de l'entreprise. »

« Une cyberattaque réussie n'est presque jamais causée par une vulnérabilité ou un oubli spécifique, mais par une cascade de choses. Cela commence par une erreur de configuration mineure dans un pare-feu, qui permet ensuite d'accéder à une imprimante qui est, à son tour, connectée à un autre serveur de l'entreprise, qui a peut-être un mot de passe administrateur faible, etc. »

« En tant que professionnels de l'informatique, nous pensons souvent en silos, chaque partie de l'infrastructure ayant sa propre équipe de spécialistes. Cela augmente les risques de mauvaise communication entre les départements, ce qui est une faiblesse que les hackers adorent exploiter. La protection de votre entreprise nécessite donc une approche holistique, avec une surveillance continue, pro-active et automatisée pour que les choses restent gérables. »

3 choses que vous pouvez faire dès maintenant pour renforcer la sécurité

Il est possible de réduire considérablement votre exposition avec quelques interventions mineures :

  • N'utilisez pas vos comptes superadmin pour les opérations quotidiennes ;
  • Introduisez l'authentification multifactorielle ;
  • Utilisez des mots de passe générés automatiquement et n'utilisez jamais, au grand jamais, un mot de passe qui a été impliqué dans une violation de données.

Le fait d'être conscient·e et vigilant·e en matière de sécurité est très utile et peut vous protéger de tout type d'attaque malveillante, et pas seulement des ransomwares.