Headline

[Etude] Qui se cache derrière les ransomwares ?

[Etude] Qui se cache derrière les ransomwares ?
[Etude] Qui se cache derrière les ransomwares ? © Chris Ried/Unsplash

Les chercheurs de Kaspersky se sont intéressés aux forums hébergés sur le darknet et ont enquêté sur certains groupes criminels spécialisés dans les ransomwares. Ils publient ce mercredi 12 mai les résultats de ces travaux dans un rapport intitulé “Ransomware world in 2021 : who, how and why”.

Pour rappel, un ransomware est un virus informatique qui paralyse un système d’information en chiffrant l’intégralité des données s’y trouvant. Les cybercriminels proposent à leur victime une clé de déchiffrement en échange d’une rançon qui peut parfois atteindre plusieurs millions de dollars, payable en Bitcoin et donc impossible à annuler une fois payée. 

Les ransomwares explosent
Ce type de cyberattaques progresse d’année en année. En 2020, en France, les signalements de ransomwares ont augmenté de 255%, d’après l’Agence nationale de la sécurité des systèmes d’information (Anssi). Les hackers ciblent aussi bien des petites entreprises que des multinationales. Dernier exemple en date : le groupe Colonial Pipeline, le principal opérateur de pipelines aux Etats-Unis, qui a été victime d’un ransomware il y a quelques jours.

Dans son étude, Kaspersky veut mettre fin à certains mythes concernant les ransomwares. “Il apparaît clairement que l’industrie du ransomware est complexe et implique de nombreux acteurs avec des rôles variés“, résume Craig Jones, Director Cybercrime au sein d’Interpol.

Une myriade d’acteurs
L’entreprise russe de cybersécurité affirme que les hackers ne sont pas des “groupes soudés” qui obéissent à un seul chef. La réalité est bien différente : “la plupart des attaques font intervenir un nombre d’important d’acteurs différent – développeurs, botmasters, vendeurs d’accès ou opérateurs de ransomwares — qui se rendent mutuellement service via des places de marché hébergées sur le darkweb”.

Ces différents acteurs interagissent sur des forums spécialisés. Le groupe criminel REvil, qui s’en est récemment pris au sous-traitant taïwanais Quanta, publie régulièrement des offres et des actualités au moyen de programmes d’affiliation. Les contrats de ce type supposent en pratique un partenariat entre l’opérateur du ransomware et un affilié. Le premier perçoit une marge de 20 à 40% et le second les 60 et 80% restants.

Des rouages bien huilés
“Les botmasters et les revendeurs de comptes” sont chargés de fournir un accès initial au réseau de la victime. D’autres membres de cet écosystème, baptisés “l’équipe rouge” par Kaspersky, utilisent cet accès initial pour obtenir un contrôle total sur le réseau cible. Au cours de ce processus, ils collecteront des informations sur la victime et voleront des documents internes.

Ces documents peuvent être ensuite transmis à une équipe d’analystes qui tentera de déterminer la santé financière réelle de la cible, afin de fixer le prix de rançon le plus élevé possible. Ils resteront également à l’affût de toute information sensible ou incriminante qui pourrait être utilisée pour soutenir leurs stratégies de chantage.

Lorsque “l’équipe rouge” est prête à lancer l’attaque, elle achètera le malware adéquat auprès d’un développeur opérant sur le darknet. Les négociations avec les victimes peuvent être gérées par une autre équipe. Si la rançon est payée, des experts seront chargés de blanchir la somme obtenue.

L’étude indique que les différents acteurs de cette “chaîne de valeur” ne se connaissent pas personnellement dans la majorité des cas. Ils communiquent d’ailleurs le moins possible pour éviter que les enquêteurs ne puissent remonter la chaîne.

Cibler les entreprises les plus vulnérables
Les victimes sont choisies de manière opportuniste, affirment les chercheurs. Ainsi, ce sont les entreprises les plus faciles à atteindre qui sont sélectionnées. A noter que les criminels qui obtiennent l’accès au réseau de la victime ne sont pas forcément ceux qui déploient le malware. Il peut s’agir d’opérateurs indépendants qui revendent ensuite l’accès au réseau par le biais d’enchères ou à prix fixe à partir de 50 dollars, précise l’étude.

Les forums proposent de nombreuses offres. Certains opérateurs vendent des échantillons de virus et de logiciels de conception pour des sommes allant de 300 à 4000 dollars. D’autres proposent des forfaits “Ransomware-as-a-Service” (RaaS) qui comprennent l’achat du ransomware et le support technique des développeurs, à des tarifs allant de 120 dollars par mois à 1 900 dollars par an.

L’écosystème des ransomwares est complexe (…) Vu le succès de leurs succès, les cybercriminels ne vont pas disparaître du jour au lendemain“, conclut Dmitry Galov, chercheur en cybersécurité au sein de la Global Research and Analysis Team de Kaspersky. Il est donc indispensable que les organismes publics et les entreprises se protègent face à ces attaques qui peuvent coûter très chers. 

Leave a Reply

Your email address will not be published. Required fields are marked *