Avez-vous entendu parler du Ransomware-as-a-Service ?

Les ransomwares continuent d’être l’une des cybermenaces les plus persistantes et les plus répandues. La seule constante des rançongiciels est qu’ils continuent d’évoluer et de s’adapter à mesure que de nouvelles technologies deviennent disponibles. La dernière évolution n’est pas liée aux nouvelles technologies mais plutôt à un nouveau modèle commercial appelé ransomware-as-a-service ou RaaS. Ce nouveau modèle commercial est une menace pour les entreprises, grandes et petites, car il fournit les outils, les technologies et le savoir-faire les plus récents aux cybercriminels aux capacités variées, leur permettant d’augmenter leur base de victimes.

Définition du ransomware en tant que service (Ransomware-as-a-service)

RaaS est un modèle d’entreprise où il existe un accord entre un opérateur et une filiale. L’opérateur développe et maintient les outils utilisés pour l’extorsion, et un affilié, déploie la charge utile du ransomware ou du malware. Lorsque l’affilié réussit l’attaque de ransomware et d’extorsion, l’opérateur et l’affilié en profitent.

Fondamentalement, le ransomware-as-a-Service abaisse la barrière à l’entrée pour les cybercriminels qui n’ont peut-être pas les compétences ou le talent technique pour développer leurs propres outils mais qui peuvent mener des attaques avec rançon.

Le résultat est que l’impact sur une organisation d’une attaque de ransomware et d’extorsion réussie reste le même, quelles que soient les compétences des cybercriminels.

Découvrir les vulnérabilités

L’une des façons dont les fournisseurs de RaaS donnent de la valeur à leurs affiliés est de fournir un accès à des réseaux compromis. Ils analysent Internet à la recherche de systèmes vulnérables qu’ils peuvent compromettre et inventorier à des fins lucratives.

Les informations d’identification compromises sont essentielles au succès des attaques. Lorsque les cybercriminels vendent l’accès au réseau, dans de nombreux cas, le prix comprend généralement un compte administrateur garanti.

Ce qui se passe après l’accès des cybercriminels dépend des groupes et de leurs motivations. Le délai entre l’accès initial et le déploiement peut aller de quelques minutes à plusieurs jours ou plus. Mais lorsqu’ils sont prêts, les dégâts peuvent être infligés extrêmement rapidement. Dans certains cas, l’ensemble du processus, de l’accès au déploiement de l’attaque par rançon, a pris moins d’une heure.

Méthodes d’accès

Les cybercriminels aiment maximiser leurs investissements. Une fois qu’ils auront accès à un réseau, ils feront tout ce qui est en leur pouvoir pour y rester. Cela est vrai même si l’organisation victime paie la rançon initiale demandée. Le paiement de la rançon sert à financer des attaques continues avec différentes charges utiles de rançongiciels et de logiciels malveillants jusqu’à ce qu’ils soient supprimés du réseau.

L’élément humain

L’une des raisons pour lesquelles RaaS est si préoccupant est que les attaquants sont des humains qui peuvent modifier leurs schémas d’attaque en fonction de ce qu’ils trouvent dans les réseaux qu’ils violent, pour assurer le succès de l’attaque.

Les auteurs de menaces de ransomwares sont motivés par l’argent facile, ce qui signifie que le renforcement de la sécurité d’une organisation augmentera ses coûts d’exploitation et perturbera l’économie de la cybercriminalité. Avoir des produits de sécurité qui détectent ou bloquent les charges utiles malveillantes n’est pas suffisant en raison de l’élément décisionnel humain impliqué dans le RaaS. Bien que la charge utile malveillante soit bloquée, les cybercriminels eux-mêmes peuvent rester et utiliseront simplement d’autres outils ou modifieront leurs charges utiles pour continuer à attaquer.

Les cybercriminels sont également très conscients des temps de réponse et des capacités et limites des outils de détection. Au moment où l’attaque atteint le stade de la suppression des sauvegardes, il ne reste plus que quelques minutes avant le déploiement d’un ransomware. L’auteur de la menace aurait probablement déjà effectué des actions nuisibles telles que l’exfiltration de données. Il est important de le savoir à des fins de remédiation et de réponse aux incidents.

Durcissement de la position de sécurité

Voici quelques mesures que les organisations peuvent prendre pour renforcer leur sécurité.

• Développer une segmentation du réseau basée sur des privilèges qui peuvent être mis en œuvre parallèlement à la segmentation du réseau pour limiter les mouvements latéraux.
• Auditer l’exposition des informations d’identification. Réduisez les privilèges administratifs et comprenez le niveau d’exposition de ces informations d’identification.
• Il est important de sécuriser les ressources et les identités cloud ainsi que les comptes sur site. L’accent doit être mis sur le renforcement de l’infrastructure d’identité de sécurité, l’application de l’authentification multifacteur (MFA) sur tous les comptes et le traitement des administrateurs cloud avec le même niveau de sécurité que les administrateurs de domaine.
• Les organisations doivent vérifier que leurs outils de sécurité fonctionnent et sont correctement configurés. Ils doivent également effectuer des analyses régulières du réseau pour s’assurer que les outils de sécurité en place protègent tous les systèmes.
• Les organisations doivent identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.
• Établir des procédures de correctifs. Les cybercriminels utilisent régulièrement des vulnérabilités non corrigées, qu’elles soient déjà divulguées ou non, pour faire leur sale boulot, donc avoir d’excellents processus de correction peut atténuer les risques.
• Préparez-vous avec un plan de récupération. Les coûts de récupération sont généralement inférieurs au paiement d’une rançon. Les organisations doivent s’assurer que des sauvegardes régulières des systèmes critiques sont effectuées et que les capacités de restauration sont vérifiées et testées sur une base planifiée.
• Ils doivent également s’assurer que ces sauvegardes sont protégées contre l’effacement et le cryptage délibérés.

Le ransomware-as-a-service a une fois de plus changé le paysage en augmentant les risques d’attaque de ransomware à plusieurs niveaux. Les étapes et recommandations ci-dessus sont un excellent début pour atténuer ces risques.

MicroAge peut aider les entreprises et les organisations à renforcer leur position en matière de sécurité tout en perturbant l’économie de la cybercriminalité tirée par le RaaS. Contacte nous pour voir de quelle manière nous pouvons t’aider.