Rançongiciels : quand le piratage informatique devient une entreprise

Les rançongiciels font partie des fléaux de la cybercriminalité qui impactent le plus la réalité des organisations à travers le monde.

Du côté des pirates informatiques qui ont tendance à opérer grâce à ce genre de programme malveillant, il semblerait que les choses vont de bon train. En effet, une enquête réalisée par une société de cybersécurité spécialisée dans la protection des organisations compte les attaques ciblées par courrier électronique, connu sous la dénomination de Abnormal Security, a constaté une situation assez insolite.

Cet article va aussi vous intéresser : Rançongiciels : que savez-vous du Ransomware mobile Koler « Police » ?

En effet, les spécialistes de la société on mis en évidence des invitations émises par des pirates informatiques à des collaborateurs d’entreprise, leur demandant d’installer sur les ordinateurs des logiciels en échange d’une part des bénéfices qui pourraient être récolter à hauteur de 1 million de dollars. Malheureusement, ce n’est plus quelque chose d’inédite. Cela se fait depuis longtemps.

De façon pratique lorsque on étudie l’écosystème des affaires, on observe clairement que le modèle d’affiliation est quelque chose qui porte le plus de fruits. Dans le secteur de la cybercriminalité, les pirates informatiques qui utilisent les rançongiciels s’organisent dorénavant de la sorte. On voit maintenant que plusieurs développeurs et collaborateurs s’impliquent dans la réalisation des attaques. En échange, ils reçoivent soit des commissions allant de 50 pourcents à 20%, soit de rémunération mensuelle. « Beaucoup de personnes à l’origine des rançongiciels sont de simples personnes qui ont de l’expérience dans le domaine de la sécurité informatique et décident d’essayer de gagner de l’argent de cette manière », note Marijus Briedis, le directeur technique chez NordVPN.

Avec la pandémie à la Covid-19 et l’explosion du travail à distance, c’est une tendance qui a littéralement augmenté.

Toutefois, on a pu observer d’autres changements depuis que les cybercriminels aux rançongiciels ont décidé de se transformer en format professionnel d’entreprise. Selon le consultant en cyber menace chez Mandiant Threat Intelligence de FireEye : « Cela n’a pas nécessairement conduit à l’implication d’un grand nombre d’acteurs peu sophistiqués, mais a également permis un niveau de spécialisation plus profond, comme la compromission de la chaîne d’approvisionnement ou l’exploitation de vulnérabilités de type Zero-Day, par exemple. ».

Vu que plusieurs entités sont impliquées dorénavant dans le déploiement de ces programmes malveillants, les tâches sont distribuées et il n’est plus nécessaire de concentrer en un seul point, tous les détails du développement. Dans ce cas de figures, il n’est pas rare que les Opérateurs de rançongiciels font des recrutements des développeurs, spécialistes du pentest et sûrement des négociateurs de rançon.

« L’économie du Ransomware-as-a-service (RaaS) suit une chaîne de valeur bien orchestrée qui part d’un chercheur de vulnérabilités qui identifie et vend des vulnérabilités de type Zero-Day aux développeurs qui créent des logiciels malveillants pour tirer parti des vulnérabilités et aux vendeurs ou distributeurs qui font du marketing et des ventes sur les offres RaaS du marché noir », note George Papamargaritis, le directeur MSS chez Obrela Security Industries.

Dans la chaîne d’activité, plusieurs professionnels sont impliqués directement ou indirectement. En passant par des intermédiaires qui sont chargés de blanchir les bitcoins les proposant à des échangeurs de devises aux hébergeurs véreux, jusqu’aux opérateur de botnet, Tout un arsenal de spécialistes sont invités à s’y impliqués.

Selon les chercheurs de l’entreprise de cyber sécurité Kela, il est possible de trouver sur le Dark web, des offres d’emplois d’individus qui réclament des spécialistes pouvant gérer trois bot par jour avec des renumérotions allant à 10% pourcents de commissions sur les bénéfices.

« Souvent, vous devez fournir des preuves de votre authenticité, que vous ayez déjà été actif dans l’espace ou que vous soyez prêt à mettre en avant vos intérêts et votre engagement pour entrer dans des groupes fermés », décrit M. Collier. « Il y a donc beaucoup de barrières pour empêcher quiconque de s’impliquer juste pour le plaisir de le faire ou d’ailleurs, pour empêcher les forces de l’ordre de s’impliquer. ».

Avec autant d’organisation, les pirates informatiques continuent de gagner de l’argent. L’ancienne tactique qui consistait à chiffrer les données et exiger le paiement d’une rançon n’est plus d’actualité pour autant. Même si elles continuent, on a plutôt tendance à remarquer des menaces portant sur la divulgation de données sensibles en cas de non paiement de la rançon. Certains opérateurs tel que le groupe Maze ou REvil se sont fait énormément d’argent par cette technique. « Ces groupes, qui au départ n’opéraient qu’en verrouillant les fichiers, ont découvert qu’il pouvait être encore plus lucratif d’extorquer une rançon en échange de la non publication des données divulguées », note Dean Ferrando, ingénieur système principal chez Tripwire.

Malheureusement pour ces organisations piégées, ces menaces se transforment souvent en double ou triple extorsions : « dans certains cas, les groupes affirment avoir organisé des ventes à des tiers intéressés lorsque les propriétaires initiaux des données refusaient de payer. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage