Dix ans de Ransomware-as-a-Service : l'ascension d'une industrie cybercriminelle

En dix ans, le RaaS a transformé le ransomware en une industrie criminelle mondiale, accessible à tous et structurée, rendant les cyberattaques plus fréquentes et difficiles à contrer.

En une décennie, le Ransomware-as-a-Service (RaaS) est passé d’un phénomène émergent et artisanal à une industrie criminelle structurée, très lucrative et opérant à l’échelle internationale. Ce modèle a profondément transformé la cybercriminalité en facilitant la mise en œuvre d’attaques, tout en structurant et professionnalisant l’ensemble de l’écosystème du ransomware. Longtemps réservé à des cybercriminels expérimentés, le ransomware est aujourd’hui, grâce aux plateformes de Ransomware-as-a-Service (RaaS), à la portée d’un plus grand nombre d’acteurs. Alors que les cyberattaques par ransomware se multiplient (WannaCry a affecté en 2017 les systèmes de plus de 150 pays) il est essentiel de comprendre leur fonctionnement pour mieux les anticiper et les contrer.

Les origines du modèle RaaS

L’histoire du RaaS débute en 2015 avec TOX. Cette première plateforme de ransomware publique et gratuite permettait à tout utilisateur, sans compétences techniques particulières, de générer un ransomware ciblant Windows. Si l‘expérience a été de courte durée, elle a posé les bases du modèle RaaS d’aujourd’hui : diffusion par affiliation, répartition des revenus et logique de plateforme. Rapidement, des services similaires comme Stampado, Satan, Atom (rebaptisé Shark par la suite) ou Petya/Misha ont vu le jour et ont repris ces mêmes concepts. Le ransomware est alors devenu un produit prêt à l’emploi, proposé via des interfaces web avec des options de personnalisation flexibles et des partages de revenus automatisés.

RaaS : un écosystème qui se structure et se professionnalise

À partir de 2016, le modèle RaaS s’est considérablement professionnalisé. Le groupe Cerber, par exemple, a fédéré des centaines d’affiliés générant des revenus estimés à plus de 200 000 dollars par mois. Le groupe proposait aux affiliés un modèle de partage de gains à 60/40, moins généreux que d’autres mais largement compensé par l’ampleur de son écosystème.

Au fil des années, le partage de revenus est devenu un levier central de fidélisation. Certains groupes comme Encryptor ont tenté de séduire des affiliées avec des offres extrêmes (95/5) mais au fil du temps, le modèle 80/20 est devenu la norme. D’autres acteurs, comme LockBit, ont récompensé les affiliés les plus performants avec des réductions plus importantes. Cette logique d’incitation, empruntée au monde de l’entreprise, a contribué à professionnaliser davantage l’écosystème.

Parallèlement, certaines plateformes, comme GandCrabn DrakSide, BlackMatteur et Conti ont restreint l’accès à leurs services en instaurant des modèles d’affiliation privés ou sur invitation, et en exigeant des frais d’entrée. Ces barrières visent à écarter les chercheurs en sécurité et les forces de l’ordre, tout en attirant des opérateurs expérimentés capables d’optimiser les profits. La standardisation des modèles de partage de revenu et l’automatisation des paiements en bitcoins et cryptomonnaies ont permis d’accélérer cette professionnalisation du secteur.

Malgré ce cloisonnement, les mouvements d’affiliés entre groupes restent fréquents, notamment après des démantèlements. Fin 2023, LockBit a ouvertement recruté des affiliés d’AlphV et NoEscape, tandis que RansomHub, Dispossessor et DragonForce/RansomBay ont accueilli d’anciens membres ou tenté d’en attirer de nouveaux.

Cette flexibilité de l’écosystème, couplée à des stratégies de fidélisation sophistiquées, prouve que le RaaS n’est plus un phénomène marginal, mais bien une économie criminelle à part entière, agile, opportuniste et capable de s’adapter aux bouleversements de son propre marché.

Le marketing : un levier d’intimidation et de recrutement

Au cours de la dernière décennie, l’image de marque, le marketing et la gestion de la réputation sont au coeur des stratégies des groupes de Ransomware-as-a-Service (RaaS), à l’instar des entreprises légitimes. Ces acteurs de la menace ont désormais intégré des éléments distinctifs, tels que des noms, des identités visuelles, pour attirer des affiliés et forcer leurs victimes à payer. Ces groupes gèrent des sites publics de fuite et exploitent des plateformes comme Telegram, X (anciennement Twitter), Discord, ainsi que des forums du dark web pour exposer publiquement leurs victimes et les obliger à payer. La médiatisation des attaques est une tactique courante, qui contribue à augmenter la pression exercée sur les victimes. Certains attaquants vont jusqu'à se faire passer pour des groupes bien établis, comme LockBit et Babuk, afin de gagner la confiance des victimes et rendre leur attaque plus crédible.

Aujourd’hui, le modèle Ransomware-as-a-Service (RaaS) a atteint une maturité inquiétante et s’est transformé en une véritable infrastructure criminelle. Son efficacité repose sur sa capacité à industrialiser les attaques, à répartir les rôles et à évoluer sans cesse. Nouvelles structures d’affiliation, stratégies de marque de plus en plus agressives ou intégration de technologies émergentes comme l’IA générative, ces groupes innovent sans cesse, rendant les attaques plus sophistiquées et difficiles à prévenir. Face à cette menace, les entreprises doivent se préparer à l’inattendu et adopter une approche globale de la cybersécurité, intégrant prévention, détection proactive, réponse rapide - pour limiter la propagation des attaques - et résilience. Mais la meilleure défense reste la sensibilisation, une préparation minutieuse et une vigilance constante.