Derrière de nombreux cyber-attaquants, il n'y a pas que des solitaires dans des pièces sombres. Au contraire, certains groupes APT se considèrent comme des entreprises commerciales qui n'agissent plus elles-mêmes, mais vendent uniquement leurs services et leur technologie et perçoivent massivement. Cela rapporte de l'argent et réduit les risques. Voici une brève explication du fonctionnement de RaaS – Ransomware as-a-Service.
Dans l'informatique, les produits sont désormais principalement proposés en tant que services, tels que la plate-forme en tant que service (PaaS) ou l'infrastructure en tant que service (IaaS). Ceux-ci consistent en un grand nombre de sous-services, qui sont à leur tour mis à disposition par différents prestataires en termes de division du travail et de professionnalisation - un concept réussi dont les cybercriminels profitent également. Différents groupes d'attaquants fournissent les différentes parties de l'ensemble du service de ransomware de bout en bout. Ces blocs de service de ransomware sont bien décrits et peuvent être facilement achetés dans différents niveaux de qualité.
Modèle commercial de ransomware en tant que service
Le Ransomware-as-a-Service (RaaS) est devenu un véritable modèle commercial avec des acteurs hautement professionnels ces dernières années, notamment parce que la surface d'attaque possible pour les cybercriminels a considérablement augmenté. On estime qu'en 2020, 64 % de toutes les attaques de ransomwares ont été menées à l'aide de l'approche RaaS.
Avec l'essor du travail à distance et du télétravail, le nombre d'appareils utilisés en dehors du périmètre protégé de l'entreprise a également augmenté. De plus, du fait du passage aux services et infrastructures basés sur le cloud, les paysages informatiques se complexifient et sont donc plus difficiles à sécuriser. Les attaquants n'ont besoin de trouver qu'une seule vulnérabilité ; Les organisations doivent couvrir toutes les éventualités et se tenir au courant des dernières stratégies d'attaque.
RaaS est une entreprise professionnelle
« L'activité RaaS est devenue extrêmement professionnelle ces dernières années : les fournisseurs criminels fournissent une grande variété d'outils d'attaque et d'étapes d'attaque individuelles en tant que services et attachent une grande importance au service. Les outils sont proposés avec des guides pratiques pour mener des attaques, les meilleures pratiques, les stratégies de ransomware et même un service d'assistance informatique », explique le Dr. Sebastian Schmerl, directeur des services de sécurité EMEA chez Arctic Wolf. "RaaS offre souvent exactement le type de documentation et d'architecture que l'on attend des offres SaaS grand public, et est loin de la représentation de la culture pop du solitaire stéréotypé portant un sweat à capuche."
Comme dans le secteur SaaS, il existe également différentes stratégies de tarification pour les fournisseurs RaaS. Certains proposent leurs services d'attaque sous forme d'achat unique, d'autres via des abonnements, et d'autres encore utilisent une combinaison d'abonnement et une part des frais de rançon payés au développeur après une attaque réussie. Dans ce dernier cas, les fournisseurs sont assez pointilleux et ne travaillent qu'avec des clients qui ont un certain historique. Un premier contrôle de rentabilité est donc effectué.
Pourquoi le RaaS a-t-il autant de succès ?
Les crypto-monnaies sont un facteur essentiel du succès du RaaS. Parce que les devises comme le bitcoin et le monero sont difficiles à tracer, elles se prêtent bien aux paiements RaaS et aux demandes de rançon. De plus, les crypto-monnaies sont relativement faciles à convertir en « argent propre », ce qui les rend attrayantes pour les acteurs malveillants à la recherche d'un profit rapide.
Pour faire simple : le RaaS a autant de succès car le ransomware est un puissant moyen de pression - mot-clé « double extorsion » : chiffrement informatique combiné à la menace de divulgation de données. De plus, lorsque des données sont volées ou bloquées, les entreprises ne savent souvent pas quoi faire dans la situation. Ils pensent souvent que payer la rançon est la seule option, bien que le LKA, le BKA et le BSI déconseillent fortement aux entreprises de le faire.
Non seulement l'utilisation de ransomwares est une stratégie d'attaque efficace, mais les services RaaS sont également relativement faciles d'accès, d'utilisation et d'adaptation. Les attaquants utilisent souvent une plate-forme de ransomware pour gérer les victimes et leurs statuts, et développent en permanence cette plate-forme et les modules d'attaque individuels. Cela leur permet d'ajouter facilement de nouvelles fonctionnalités qui rendent la plate-forme encore plus "évolutive et productive". Certains groupes d'attaquants coopèrent également au traitement des victimes et partagent le code du moteur d'attaque.
C'est ainsi que les entreprises peuvent se protéger
Bien que les attaquants soient organisés et hautement professionnels, les entreprises peuvent se protéger contre les attaques de ransomwares. Le facteur le plus important dans la défense contre les cybermenaces est une approche proactive avec des mesures préventives :
- Établir un état d'esprit de sécurité ou une culture d'entreprise soucieuse de la sécurité : Cela commence par l'éducation à la cyberhygiène et la prise de conscience que la sécurité n'est pas un état des choses, mais un processus continu. À mesure que les menaces évoluent, les informations sur les menaces doivent être exploitées pour ajuster les stratégies de défense et les ressources d'information de sécurité.
- Formation des employés pour les sensibiliser aux menaces et à la détection des escroqueries par hameçonnage et autres signaux d'alarme. Ceci est particulièrement important car les attaques d'ingénierie sociale visent directement les employés.
- Exploitez toutes les possibilités pour augmenter la sécurité des données, par exemple grâce à des sauvegardes plus fréquentes. Les sauvegardes doivent être stockées dans des zones de gestion séparées afin qu'elles ne soient pas mises en danger avec les données activement utilisées (solution isolée).
- Correctif régulier des systèmes, car les attaquants RaaS exploitent souvent les vulnérabilités connues et les erreurs de configuration.
- Surveillance de sécurité étendue pour identifier rapidement les cyberattaques et prendre les mesures appropriées. La détection et la réponse sont également proposées en tant que service de détection et de réponse gérées (MDR) par des fournisseurs tels que Arctic Wolf.
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.