Qu’est-ce qu’un Ransomware as a Service (RaaS) et pourquoi vous devez le redouter

255 %. C’est le rythme vertigineux de progression du nombre d’attaques par ransomware entre 2019 et 2020, selon une étude menée conjointement par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Bundesamt für Sicherheit allemand. 

Les ransomwares, ce sont des logiciels malveillants que les pirates installent dans les entreprises pour pouvoir exercer un chantage. En 2021, le rythme s’est à peine ralenti, pour grande partie en raison de l’évolution diabolique de cette menace : désormais, des pirates novices peuvent louer les services de hackers plus aguerris pour exploiter leurs ransomwares. Découvrez ce qu’est un Ransomware as a Service, comment il fonctionne, et ce que vous pouvez faire pour vous protéger contre ce fléau. 

Qu’est-ce qu’un ransomware ? 

Les ransomwares (ou rançongiciels) sont des programmes malveillants capables de bloquer le système informatique ou une partie du système informatique d’une entreprise en codant toutes ses données. 

En conséquence, les utilisateurs n’ont plus accès à leurs fichiers, et l’entreprise se retrouve paralysée. Les pirates peuvent alors extorquer une rançon en échange de la clé de déchiffrement permettant de retrouver l’accès aux données. 

JBS, une firme agroalimentaire spécialisée dans la viande bovine et porcine a ainsi déboursé 11 millions de dollars de rançon. 

Mais les cybercriminels n’en sont pas restés là. Ils ont étendu le concept du ransomware et créé un nouveau business model : le Ransomware as a Service (RaaS). 

L’année dernière, les deux tiers des attaques de Ransomwares impliquaient un ransomware utilisé dans le cadre d’un Ransomware as a Service (RaaS). 

Qu’est-ce que Ransomware as a Service ? 

Un Ransomware as a Service (ou RaaS) est un ransomware proposé à l’utilisation sur une plate-forme en ligne, exactement comme n’importe quel logiciel sur le cloud en mode SaaS (software as a service – songez par exemple au bouquet de services bureautiques Microsoft 365, ou au service de téléconférence Zoom). 

Il est donc possible pour des individus animés de mauvaises intentions de l’employer pour lancer des attaques sur des entreprises ou des particuliers. En échange, les individus ou gangs qui mettent le ransomware à disposition perçoivent une rémunération. Cette rémunération prend souvent la forme d’un abonnement mensuel, exactement comme le font les SaaS classiques. 

Un business-model gagnant-gagnant 

Outre l’accès au logiciel, le fournisseur du ransomware offre une palette de services aux hackers qui utilisent son RaaS, exactement comme le fait un SaaS : mise à jour du logiciel, guidage et assistance à l’utilisation 24h/24 et 7j/7, maintenance, forums d’entraide, entre autres. Sur leur plate-forme, on lit même parfois les avis d’autres utilisateurs… 

Pour les pirates, ce système est très intéressant, puisqu’il permet à des individus totalement profanes en informatique et/ou en cybersécurité d’utiliser des logiciels sophistiqués, de lancer des attaques, et de percevoir des rançons en conséquence. 

Bien souvent, la plateforme fournit même les e-mails de phishing, c’est-à-dire, des e-mails imitant un message provenant d’une organisation de confiance (banque, opérateur d’énergie ou de télécommunications, etc.) pour inciter la cible à télécharger un fichier contenant le ransomware, ou à cliquer sur un lien la renvoyant vers un faux site sur lequel elle sera infectée par le logiciel malveillant. 

La plupart des entreprises décident de payer la rançon, ce qui rend ce système très lucratif. C’est pourquoi les attaques menées grâce à des Ransomwares as a Service se sont multipliées : le business model est intéressant pour leurs propriétaires, comme pour leurs utilisateurs. 

En parallèle, les montants des rançons ont explosé sur les dernières années. On estime qu’elles atteignent désormais 250 000 dollars en moyenne. En conséquence, les assureurs ont augmenté les primes attachées à ce risque. 

Le Ransomware as a Service est une mine d’or 

Cela a créé un appel d’air, d’autant que le système du Ransomware as a Service est ouvert aux débutants de tous horizons. Cette technique de piratage s’est donc rapidement démocratisée. Pire, elle encourage les récidives, puisqu’une utilisation plus fréquente du RaaS permet bien souvent de profiter d’une tarification dégressive… 

Comme la rançon est généralement payée en cryptomonnaie, l’anonymat est de mise lors de la transaction et il n’est pas toujours possible de remonter la piste des bénéficiaires. Les pirates agissent de ce fait dans une relative impunité. 

Les fournisseurs et RaaS sont rarement des individus isolés. Fréquemment, ce sont des organisations criminelles et des armées de pirates soutenus par des gouvernements (Russie, Chine, Iran, entre autres). Ils agissent souvent avec des motivations politiques, et avec l’intention de frapper fort. 

Les attaques par ransomware font surtout les titres des journaux lorsqu’elles sont lancées contre des multinationales, parce que les rançons réclamées sont souvent de montants astronomiques. Mais malheureusement, les pirates qui utilisent les RaaS ne ciblent pas exclusivement les grandes organisations 

Les PME peuvent aussi en être victimes. Les hackers savent que bien souvent, elles ne sont pas outillées pour se protéger contre les cybermenaces, ce qui en fait des cibles de choix. 

Comment se protéger contre les Ransomwares as a Service ? 

Les mesures à prendre pour éviter d’être infecté par un Ransomware as a Service sont les mêmes que pour un ransomware. 

Il faut idéalement travailler sur 3 axes : formation, prévention et préparation à un éventuel incident. 

• Vos collaborateurs doivent connaître les Raas et les ransomwares en général et la manière dont ils pénètrent dans le système de l’entreprise (par l’entremise d’un email de phishing). Ils doivent se montrer circonspects à l’égard des e-mails provenant de l’extérieur, surtout s’ils contiennent un lien URL ou un fichier à télécharger ; 
• Les antivirus ne sont pas toujours efficaces pour empêcher une attaque de ransomware. Il est donc indispensable de déployer des systèmes de protection avancée basés sur la politique du “zéro trust” (c’est-à-dire, sur des mesures d’authentification forte des utilisateurs, entre autres). 
• Vous devez vous montrer particulièrement scrupuleux avec vos sauvegardes. Celles-ci doivent être réalisées régulièrement et de manière exhaustive. Si possible, effectuez de temps en temps un test de restauration pour vous familiariser avec cette procédure. Pour en savoir plus, vous pouvez télécharger notre guide sur les sauvegardes. 
• Enfin, vous devez disposer d’un plan de reprise d’activité pour vous permettre de limiter la durée de l’interruption de service en cas d’attaque. La Rolls des protections consiste à se doter d’une réplique de son système informatique mobilisable en cas de besoin.