Ransomware-as-a-Service (RaaS)

25 Avr 2017
Mickaël Ripoll, Consultant SSI
824
0

Qu’est-ce qu’un ransomware ?

Il peut être bon de rappeler ce qu’est un ransomware, alias rançongiciel dans la langue de Molière. Il existe deux types de ransomware ; ceux dits classiques, entravant votre machine et ne rétablissant son état que lors du paiement d’une rançon et les crypto-ransomwares, chiffrant les données et réclamant une rançon pour vous permettre d’y accéder à nouveau.
Un ransomware, dans sa généralité, a pour objectif de récupérer un certain montant d’argent pouvant être une monnaie type $ (US dollar) ou (euros). Les crypto-ransomwares auront tendance à réclamer une somme en Ƀ (bitcoin), bien que les paiements via des services externes restent possibles. Les crypto-ransomwares vont infecter une machine la plupart du temps par le biais d’emails malicieux contenant un lien vers une adresse web vérolée qui téléchargera sur votre machine le malware, ou bien contenant une pièce-jointe vérolée qui agira comme un Trojan contenant le malware.
Lorsqu’un crypto-ransomware chiffre vos données, il est pratiquement impossible de les récupérer sans avoir la clé de déchiffrement. Le chiffrement est dit asymétrique ; une clé est utilisée pour chiffrer les données, et son unique clé associée est utilisée pour déchiffrer. Les crypto-ransomwares ont des priorités de chiffrement différentes en fonction de son origine, de l’attaquant, etc. Certains chiffreront uniquement les données présentes dans le dossier « C:\USERS » de Windows, d’autres s’attaqueront à toutes les données présentes sur la machine, aux sauvegardes, aux partages réseaux, etc.
Il est bon de conclure ce rappel sur les ransomwares qu’il n’existe pas de solution miracle contre les ransomwares ou pour récupérer les données. Une entreprise ayant perdue ses données et qui est menacée de cessation de toute activité devra, sans aucun doute, payer la rançon afin d’espérer la récupération de ses données. Les entreprises ayant de nombreuses sauvegardes de leurs différents systèmes n’auront pas à s’inquiéter de la rançon, mais devront faire en sorte que ce genre d’attaque ne se reproduise plus. Quant aux particuliers, il est fortement conseillé de ne pas payer la demande de rançon, car cela ne ferait qu’encourager les hackers à reproduire ce genre d’attaque. Ne faîtes pas confiance à ce que vous trouvez sur l’Internet, ne téléchargez jamais les pièces-jointes d’un email soupçonneux, ne cliquez jamais sur un lien envoyé par quelqu’un, et ayez un antivirus mis à jour régulièrement.

RaaS ? Quèsaco ?

RaaS est l’acronyme signifiant « Ransomware-as-a-Service ». Nous avons brièvement vu dans la partie précédente qu’une attaque par ransomware se caractérise par le schéma suivant :

Illustration : Fonctionnement d'un ransomware classique

Ce schéma résume assez simplement le principe de diffusion classique d’un crypto-ransomware. Voyons maintenant le schéma associé à la diffusion d’un crypto-ransomware, mais par le biais d’un RaaS :

Illustration : Fonctionnement d'un Ransomware-as-a-Service

Le schéma précédent illustre très bien l’intérêt du RaaS. L’attaquant principal va mettre au point une plate-forme et des outils permettant à des attaquants secondaires, peu importe leur niveau technique, de personnaliser un crypto-ransomware donné. La personnalisation est limitée mais suffisante, proposant de modifier le montant de la rançon (en bitcoin), les fichiers à chiffrer, etc. L’attaquant principal prend une caution sur la rançon récupérée par chaque utilisateur de son service. Mais là où le vice va loin, c’est sur les fonctionnalités de certaines plates-formes. Certaines d’entre-elles mettent à disposition des outils pour suivre en direct la propagation du crypto-ransomware, avec les pays visés, les sommes demandées pour chaque malware envoyé, etc.
Au final, le principe du Ransomware-as-a-Service permet de mettre à disposition de n’importe qui une attaque pouvant rapporter rapidement de l’argent, peu importe le niveau de compétences, et le tout pour un prix dérisoire, si ce n’est gratuit. Ce type de service risque de créer de plus en plus de cyber-attaquants, attirés par l’appât du gain et la simplicité d’exécution. Là où un attaquant pouvait toucher un nombre X de cibles, le RaaS permet à un attaquant de fournir à Y hackers les outils pour que chacun touche un nombre X de cibles. Les schémas montraient dans le premier cas :

1 attaquant = 6 cibles

Grâce au RaaS, l’équation devient :

1 attaquant = 3 hackers
1 hacker = 6 cibles
1 attaquant = 3 * 6 = 18 cibles

Par chance, les ransomwares proposés dans la majorité des cas sont détectés par la plupart des antivirus, mais il n’est pas à exclure l’évolution de ces RaaS qui pourraient, à l’avenir, proposer des crypto-ransomwares plus destructeurs, comme Locky Ransomware, Cerber, etc.

Pour aller plus loin …

Nous vous invitons à vous informer par vous-même des dangers liés aux RaaS, aux ransomwares en général mais aussi à un maximum d’attaques afin de pouvoir mieux s’en protéger. Les sources d’informations suivantes ont inspiré la rédaction de cet article et sont de bons compléments concernant les RaaS si vous n’êtes pas fâchés avec la langue de Shakespeare :

Glossaire

Bitcoin : est une crypto-monnaie, la plus populaire de nos jours.
Chiffrer : rendre une information incompréhensible pour toute personne ne possédant pas la clé nécessaire à son déchiffrement.
Chiffrement asymétrique : chiffrement utilisant un couple de clé (l’une est publique, la seconde est privée). Généralement, on se sert de la clé publique pour chiffrer un message et de la clé privée pour le déchiffrer. À une clé publique est associée une unique clé privée, et inversement.
Clé privée : lors d’un chiffrement asymétrique, est la clé utilisée pour déchiffrer un message chiffré avec la clé publique associée.
Clé publique : lors d’un chiffrement asymétrique, est généralement la clé utilisée pour chiffrer un message.
Crypter : abus de langage d’origine anglaise, signifiant que l’on rend une information incompréhensible par chiffrement sans clé. Impossible en pratique
.
Cryptolocker/Crypto-ransomware : appelé aussi cryptovirus, est un genre de ransomware. La rançon demandée ici l’est en échange de la restitution des données de la victime, données qui ont été préalablement chiffrées par le crypto-ransomware.
Crypto-monnaie : est une monnaie électronique sur un réseau informatique.
Déchiffrer : rendre une information compréhensible grâce à la clé associée.
Décrypter : rendre une information compréhensible sans la clé associée (technique de hack).
Locky : est un crypto-ransomware sévissant grandement grâce à son efficacité. Il s’introduit dans un système suite au téléchargement, par un utilisateur, d’un Trojan camouflé en pièce jointe dans un email.
Malware : est un logiciel malveillant dont le but est de nuire à un système en l’infectant. Il existe de nombreux malwares avec différentes fonctionnalités.
Ransomware : appelé aussi rançongiciel, est un type de malware. Il en existe de différentes sortes, dont le but est de nuire en quémandant une rançon à la victime.
Trojan : dit cheval de Troie, est un type de malware. Il semble légitime mais contient un programme malveillant. Le but ici est de faire passer un programme dangereux (ex. Locky) dans un système à travers un logiciel inoffensif (le Trojan) aux yeux de ce même système.