Ransomware as a Service : le juteux business model de Satan & Co

Posted On 09 Fév 2019

Tag: bot, infiltration, LIME-RAT, NotPetya, ransomware, WannaCry

Ces dernières années, des attaques de ransomware très médiatisées, comme WannaCry et NotPetya, ont fait les gros titres au niveau mondial pour avoir infecté des milliers d’ordinateurs en chiffrant les fichiers qui restent ensuite « tenus en otage » jusqu’au paiement d’une rançon par la victime. En plus de rapporter des millions de dollars aux cybercriminels, ces attaques malveillantes nuisent aux entreprises et aux particuliers du monde entier.

Une nouvelle tendance a vu émerger des plateformes dites de ransomware as a service (RaaS) qui permettent à des cybercriminels expérimentés de vendre leurs services au plus grand nombre. Cela permet à des malfrats novices en programmation, de s’associer à des experts de la création de ransomware qui codent pour eux.

Disponible sur le dark web, Satan & Co est la toute dernières plateforme RaaS à fournir un accès à du ransomware « de qualité » aux aspirants criminels. Il suffit simplement aux utilisateurs de créer un compte et de payer un abonnement pour télécharger des fichiers malveillants exécutables prêts à infecter les PC de leurs victimes. Ils peuvent même personnaliser leurs codes et demandes de rançons en utilisant des modèles qui sont fournis. En échange, Satan facture une commission de 30 % sur l’argent récupéré lors des rançons.

Le business model de Satan : démocratiser les logiciels criminels en les proposant à la location

La plateforme de RaaS Satan permet aux cybercriminels débutants d’exécuter des attaques de ransomware faciles à personnaliser, à grande échelle, et de façon incroyablement conviviale. Non seulement les abonnés peuvent bénéficier de conseils pratiques sur la diffusion des logiciels malveillants, mais ils peuvent également bénéficier de fonctions utiles comme le suivi des attaques et la prise en charge de cartes Google pour suivre la progression de leurs campagnes. Ces utilisateurs peuvent même traduire leur logiciel malveillant en plusieurs langues.

Le business model du RaaS place tous les cybercriminels à égalité et démocratise les logiciels malveillants pour un grand nombre de nouveaux acteurs, quel que soit leur savoir-faire technique. Il est donc essentiel que les entreprises s’assurent de prendre des mesures pour se protéger contre le tsunami de ransomware qui est sur le point de déferler.

Les meilleures pratiques pour contrer le ransomware

Les entreprises cherchant à réduire leurs risques face à la menace croissante des attaques de type RaaS peuvent se consoler avec l’idée que les mesures à prendre ne sont pas différentes des défenses face aux attaques de ransomware en général.

Mettre systématiquement en place des sauvegardes de données qui limiteront considérablement l’impact d’une attaque de logiciel malveillant, car les données chiffrées pourront être restaurées sans avoir à payer de rançon. Les entreprises doivent régulièrement tester leur stratégie de sauvegarde et de reprise d’activité après sinistre pour garantir sa fiabilité.
Appliquer rapidement les mises à jour du système, du réseau et des applications. Les mises à jour logicielles contiennent généralement des correctifs. Installation obligartoire dès qu’elles sont disponibles.
Sensibiliser à la cybersécurité : formez les employés à la détection et à la gestion d’attaques d’ingénierie sociale et phishing, et les informer régulièrement des menaces de sécurité connues du moment.
Désactiver l’exécution automatique sur tous les appareils connectés : cela empêchera les logiciels malveillants de se répandre en toute autonomie, et c’est une étape importante pour contenir un logiciel malveillant en cas d’infection.
Désactiver les macros dans les applications Microsoft Office : dans de nombreux cas, le ransomware se diffuse via des documents Microsoft Office infectés qui contiennent des macros malveillantes qui téléchargent et exécutent un malware si on les lance. La désactivation par défaut des macros peut contribuer à empêcher cela, même si un utilisateur ouvre un fichier infecté.
Désactiver les connexions de bureau à distance autant que possible : cela empêchera les agresseurs ou les logiciels malveillants d’accéder à distance aux appareils et aux fichiers d’un utilisateur.
Limiter l’utilisation des outils administrateur du système : les privilèges administrateur et l’utilisation des comptes admin doivent être limités pour garantir qu’un utilisateur infecté n’accorde pas accidentellement des droits administrateurs à un criminel ayant obtenu accès à son compte.
Déployer des logiciels de sécurité : il existe de nombreuses solutions qui peuvent contribuer à lutter contre les infections de ransomware. Les logiciels antivirus et les pare-feu, par exemple, peuvent aider à bloquer des variantes de logiciels malveillants connus ou répandus. Pour plus de protection, les entreprises doivent envisager des solutions EDR (détection et réaction aux menaces sur les terminaux) et ATP (protection contre les menaces avancées) qui optimisent la détection des malwares et bloquent l’exécution du code malveillant. Le déploiement de mécanismes de sécurité multicouches comme la catégorisation des données, la segmentation du réseau, le contrôle ou la liste blanche des applications et le suivi des comportements, permettra une stratégie de sécurité supérieure pour préserver les données de l’entreprise.

Le modèle RaaS est une tendance révolutionnaire qui rend le ransomware facile à utiliser, en ne nécessitant que peu, voire pas de compétences techniques pour le configurer, le personnaliser et l’exécuter. Cela signifie que les criminels peuvent rapidement changer de vecteurs d’attaque et s’adapter aux défenses de sécurité. Les entreprises et organismes doivent donc déployer une approche multicouche de la sécurité pour ne pas devenir victime d’un logiciel malveillant. (Par Naaman Hart, Ingénieur SSI chez Digital Guardian)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.