Que se passerait-il si les services de ransomware et les menaces intérieures faisaient cause commune ?

Il existe une tendance croissante dans le secteur du ransomware, qui coupe le cordon entre la collecte des fonds et la diffusion du malware. C’est là une nouvelle donnée prouvant l’existence d’un secteur prospère où divers modèles économiques cohabitent.

Dans notre récente étude, nous avions suivi la chaîne d’infection et le fonctionnement du ransomware CryptoWall 3.0, en nous intéressant aux versements effectués par les victimes et à la façon dont ces sommes finissent par converger vers un petit nombre de portefeuilles de bitcoins, ce qui fait penser à une opération bien organisée. Dans cette nouvelle étude, nous mettons en lumière une autre tendance croissante dans le secteur du ransomware, qui coupe le cordon entre la collecte des fonds et la diffusion du malware. C’est là une nouvelle donnée prouvant l’existence d’un secteur prospère où divers modèles économiques exploitent le confort insupportable de la cybercriminalité.

Le modèle RaaS (Ransomware as a Service) est un concept émergent consistant, pour les auteurs de ransomware, à proposer à des « diffuseurs » des versions personnalisées à la demande. La rançon est alors perçue par l’auteur du malware, qui la partage avec le diffuseur. Il s’agit d’un modèle classique d’« affiliation », que nous connaissons déjà dans d’autres domaines sur le Web. Ainsi les auteurs de malware restent dans leur zone de confort – l’écriture de logiciels – tandis que des diffuseurs spécialisés dans le spam, la publicité malveillante ou le référencement BlackHat créent une nouvelle source de revenus à partir de leurs plateformes existantes. Dans le marketing d’affiliation classique, c’est le possesseur du produit qui s’octroie la part du lion. Dans le modèle RaaS, en revanche, l’auteur du ransomware ne perçoit qu’une petite partie des fonds (5 à 25%) tandis que le reste va au diffuseur (l’affilié). L’auteur reçoit la rançon de la victime en bitcoins. Le diffuseur a la promesse de toucher sa part via l’adresse bitcoin anonyme avec laquelle il s’est enregistré. Ce modèle, qui repose sur le réseau TOR et les bitcoins, est conçu pour masquer l’identité de l’auteur et du diffuseur aux autorités.

L’an passé, un certain nombre de malwares RaaS ont été repérés. RaaS Tox a été le pionnier dans ce domaine, identifié pour la première fois à la mi-2015. Après avoir crypté les données d’au moins un millier d’ordinateurs, l’auteur de Tox a décidé de se retirer de la partie et de mettre en vente sa création. Tox permettait au diffuseur de fixer le montant de la rançon et d’utiliser son adresse de portefeuille bitcoin pour collecter les fonds.

Encryptor RaaS est un autre exemple de RaaS lancé en juillet 2015 par un individu se faisant appeler Jeiphoos. A l’heure où j’écris, son site TOR est toujours opérationnel. Encryptor RaaS permet au diffuseur de configurer de nombreux paramètres du ransomware, tels que le montant de la rançon, la date limite de paiement, le montant de la nouvelle rançon une fois le délai écoulé et le nombre de fichiers qui peuvent être décryptés gratuitement (pour prouver à la victime que ses données sont intactes mais cryptées). En outre, Encryptor RaaS permet au diffuseur de signer le fichier contenant le ransomware au moyen d’un certificat, ce qui fait croire à la victime (en fait, à son système d’exploitation) que le fichier source est digne de confiance, court-circuitant ainsi totalement les nombreux mécanismes de protection installés sur les postes de travail. Des rapports précédents indiquent que VeriSign a délivré le certificat à une société chinoise. Actuellement, le RaaS utilise un autre certificat délivré par WoSign à une société suspecte (Mi You Network Technology Co., Ltd.), son certificat racine étant signé par StartCom.


Figure 1 – Ecran de personnalisation d’Encryptor RaaS



Figure 2 – Certificat utilisé par Encryptor RaaS

Au cours du mois de novembre 2015 est apparu un autre RaaS nommé Cryptolocker. L’un de ses auteurs s’est présenté sous le nom de Fakben et a demandé une redevance de 50 dollars au diffuseur en échange de l’accès au ransomware de base. Il a permis au diffuseur de fixer le montant de la rançon, l’adresse de son portefeuille et un mot de passe. Le site TOR de Cryptolocker RaaS est aujourd’hui fermé. 

Un quatrième RaaS, Ransom32, a fait son apparition au début de 2016 et est toujours actif à ce jour. Ransom32 est le premier ransomware écrit en JavaScript, ce qui le rend relativement facile à adapter à différents systèmes d’exploitation.
Ransom32 offre au diffuseur une gamme étendue d’options de personnalisation aux côtés des possibilités élémentaires qui existaient déjà. Quelques exemples : 
- verrouillage total de l’ordinateur de la victime au moment de l’infection ;
- non-détection grâce à un cryptage sollicitant faiblement le processeur ;
- affichage du message de demande de rançon avant ou après le cryptage ;
- application d’une temporisation latente avant le cryptage des fichiers.

Figure 3 – Ecran de connexion de Ransom32


Figure 4 – Page de statistiques et de personnalisation de Ransom32

La diffusion massive de spam ou la création de campagnes efficaces de publicités malveillantes nécessite des compétences et des infrastructures. Le RaaS réduit les compétences requises, principalement sur le plan technique, pour lancer une campagne de ransomware avec succès.

Le ransomware cible désormais les entreprises

En février dernier, le Hollywood Presbyterian Medical Center a révélé que les dossiers médicaux électroniques de ses patients avaient été cryptés et soumis à une demande de rançon. L’hôpital a payé 17 000 dollars en bitcoins pour déverrouiller ses données et reprendre ses activités, qui avaient été sérieusement perturbées pendant une semaine, certains patients ayant dû être changés d’établissement. Le service informatique du Lincolnshire County Council a pu se relever d’une attaque de ransomware en janvier 2016 grâce à des sauvegardes régulières. Tewksbury P.D., dans le Massachusetts, a versé une rançon en bitcoins en 2015 pour déverrouiller des données cryptées par un ransomware.

RaaS + menaces intérieures : un tandem mortel

Les menaces intérieures sont le fait d’initiés qui exploitent les informations dont ils disposent sur les données non structurées de l’entreprise, ainsi que leur connaissance de l’emplacement des données sensibles et leurs autorisations d’accès, pour crypter les données les plus précieuses. En outre, ces individus ont conscience de la valeur de ces données pour l’entreprise et en déduisent combien celle-ci sera prête à payer pour les récupérer. Nous savons que leur principale motivation est d’ordre financier, or l’utilisation d’un RaaS contre leur propre entreprise est simple, sans grand danger et rentable. Les futurs paramètres de personnalisation des RaaS pourraient être plus spécifiques et inclure des informations relatives à l’entreprise visée, par exemple les dossiers partagés en réseau ou même les identifiants les plus dignes d’intérêt. On peut alors imaginer qu’un employé indélicat se serve d’un RaaS pour rançonner son employeur.

Chiffrement / Revenus