Derrière les ransomwares en mode service ? Des investisseurs
Certains gangs, tels que celui qui opérait la plateforme de rançongiciel en mode service, reçoivent le support financier d’investisseurs pour développer leur activité. Le pire n’est jamais certain, mais pourrait bien être à venir.
Une véritable industrie avec son économie souterraine et ses fonds d’amorçage. Voilà à quoi ressemble le monde des rançongiciels en mode service (RaaS), selon Ondrej Krehel, PDG et fondateur du fournisseur de solutions de réponse à incidents Lifars. Selon lui, certains des plus grands gangs de ransomwares, y compris les opérateurs du tristement célèbre Darkside, ont été lancés grâce à des fonds d’amorçage issus d’opérations antérieures et mieux établies. Ces investisseurs apportent leur soutien sous la forme de bitcoins ou d’autres cryptopépettes, avant de recevoir en retour une part des gains.
Justement, pour Ondrej Krehel, l’exemple le plus remarquable de ce modèle est bien Darkside. Cette plateforme de RaaS a fait les gros titres lorsqu’elle provoqué a provoqué la suspension des activités de Colonial Pipeline pendant plusieurs jours, entraînant une brève panique dans une grande partie de l’est des États-Unis.
Si la bande de DarkSide semble avoir surgi de nulle part, Ondrej Krehel la rattache à une autre opération bien établie, via l’outil Zloader, une variante du célèbre cheval de Troie bancaire Zeus. Avec quelques membres communs, Darkside a pu être lancé grâce à l’argent rapporté par Zloader. À son tour, l’équipe de Zloader a été rétribuée avec une partie des paiements de rançon perçus par les opérateurs de Darkside.
Selon Ondrej Krehel, ce type de montage serait de plus en plus populaire dans le cercle très fermé des cybercriminels spécialisés dans les ransomwares. Pour lui, au fur et à mesure que les groupes cherchaient à se diversifier avec de nouvelles opérations, les membres ont adopté une sorte de structure de capital-risque, dans laquelle une équipe fournit des fonds pour aider une autre à se doter de l’infrastructure et des outils nécessaires au démarrage de ses activités.
À l’instar des investisseurs en capital-risque, les bailleurs de fonds prennent le risque d’investir de l’argent en échange d’une part des bénéfices. Lorsque la nouvelle entreprise cybercriminelle commencera à collecter des rançons, les bailleurs de fonds recevront la première part du butin. « Il y a un risque à chaque instant, mais les investisseurs reçoivent un paiement prioritaire sur les recettes », explique Ondrej Krehel.
L’économie du capital-risque cybercriminelle
Dans le cas de Darkside, Lifars estime que l’équipe de Zloader est prête à percevoir un pourcentage fixe des paiements de ransomware pendant toute la durée de vie de l’opération – probablement deux ou trois ans.
Comme dans la Silicon Valley, où l’obtention de fonds peut nécessiter une réputation et de bonnes relations, tous les cybercriminels en herbe ne peuvent pas profiter de ces investissements dans les ransomwares. Pour entrer dans la place, là où les fonds sont accessibles, les cybertruands doivent montrer qu’ils se sont déjà établis comme des opérateurs compétents. Dans de nombreux cas, une personne devra être capable de déplacer une petite somme d’argent dans ou hors d’un portefeuille bitcoin connecté à une opération majeure de ransomware, montrant ainsi son implication.
« Ce que nous avons vu, c’est que la plupart de ces conversations se déroulent en privé sur Telegram », assure Ondrej Krehel. « Vous devez généralement prouver votre identité et payer à partir d’un portefeuille affilié à un ransomware, et il n’est pas facile d’avoir un portefeuille comme celui-là pour prouver votre identité ».
Même avec ce processus hautement sélectif, il y a suffisamment de sang neuf pour que les rangs de ces opérations malicieuses augmentent de manière exponentielle. De nouvelles franchises ou filiales sont en mesure de se lancer, grâce à ces bailleurs de fonds ; ces équipes prospères, à leur tour, engendrent encore plus de diversifications dans ce que Ondrej Krehel décrit comme une « explosion de Tchernobyl » des attaques de ransomware à coût élevé.
De script kiddy à caïd
« Cela devient de plus en plus complexe, et le système va s’épanouir grâce à des individus plus matures qui seront des leaders. »
Ondrej KrehelPDG et fondateur du fournisseur de Lifars
Pour Ondrej Krehel, une partie du problème réside dans la maturation du marché des ransomwares. Certains criminels ayant commencé leurs opérations en tant que simples « script kiddies », cherchant sans discernement des paiements de l’ordre de quelques milliers de dollars, ont lancé leurs franchises criminelles où des cibles triées sur le volet sont infiltrées pour obtenir des rançons à six ou sept chiffres.
Ondrej Krehel compare cette métamorphose à celle des cartels de la drogue à la fin du XXe siècle : « ces gens ont des appartements à Moscou uniquement pour stocker de l’argent liquide ». Et plus d’argent, c’est plus de compétences.
Les attaquants expérimentés et compétents sont capables de créer de nouvelles familles de logiciels malveillants et de plateformes de ransomwares en mode service. Et, comme l’ont noté de nombreux chercheurs, les opérateurs peuvent faire des achats sur des places de marché plus ou moins cachées pour accéder à des organisations spécifiques par le biais d’informations d’authentification compromises, de vulnérabilités non corrigées ou d’autres points faibles.
En conséquence, les spécialistes de la sécurité, du renseignement sur les menaces, et les forces de l’ordre se retrouvent face à un nombre croissant de suspects et de pistes possibles : « cela devient de plus en plus complexe, et le système va s’épanouir grâce à des individus plus matures qui seront des leaders. C’est presque comme l’iPhone qui est renouvelé chaque année. Quelle version avez-vous, [et] que cherchez-vous ? »
Alors pour Ondrej Krehel, le secteur est arrivé à un point d’inflexion. Selon lui, la menace des ransomwares est sur le point d’exploser et, à moins que nous ne voulions nous retrouver dans une situation comparable à celle de cartels de narcotiques, des mesures rapides et décisives doivent être prises pour réprimer ces opérations de ransomware.
