Le Malware-as-a-Service (MaaS) est un modèle commercial illicite qui consiste à louer des logiciels servant à mener des cyberattaques. En général, on met à la disposition des clients de ces services un compte personnel leur permettant de piloter l’attaque, ainsi qu’une assistance technique. Cela permet d’abaisser le seuil initial d’expertise nécessaire aux cybercriminels en herbe.

Les ransomwares, MaaS en vogue
Les experts de Kaspersky ont examiné les volumes de vente de différentes familles de logiciels malveillants, ainsi que les mentions, les discussions, les messages et les annonces de recherche sur le darknet et d’autres ressources relatives au MaaS, afin d’identifier les types de services les plus populaires. Ce sont les ransomwares qui arrivent en tête, ces logiciels malveillants qui chiffrent les données de leurs victimes et exigent un paiement pour les déchiffrer. Les ransomwares représentent 58 % de toutes les catégories de produits distribués dans le cadre du modèle MaaS entre 2015 et 2022. La popularité des ransomwares peut être attribuée à leur capacité à générer des profits plus élevés dans un laps de temps plus court que d’autres types de logiciels malveillants.

Les cybercriminels peuvent "souscrire" gratuitement au programme Ransomware-as- a-service (RaaS). Une fois partenaires du programme, ils paient pour le service seulement après que l’attaque ait été menée. Le montant du paiement est déterminé par un pourcentage de la rançon payée par la victime, allant généralement entre 10 à 40 % de chaque transaction. Toutefois, il n’est pas si simple d’adhérer à ce programme, pour lequel des critères spécifiques doivent être remplis.

Répartition des familles de logiciels malveillants, 2015-2022, avec des exemples des familles les plus populaires dans chaque type. Source : Kaspersky Digital Footprint Intelligence
Les infostealers représentent 24 % des familles de logiciels malveillants distribués en tant que service au cours de la période analysée. Il s’agit de programmes malveillants conçus pour voler des données telles que les identifiants, les mots de passe, les données de cartes et comptes bancaires, l’historique du navigateur, les données des portefeuilles crypto, etc.
On souscrit aux services infostealer par abonnement, dont le prix varie entre 100 et 300 USD par mois. Par exemple, Raccoon Stealer, qui n’existe plus depuis le début du mois de février 2023, pouvait être loué pour 275 USD par mois, 150 à la semaine. Son concurrent, RedLine, affiche un prix mensuel de 150 USD, et il est également possible d’en acheter une licence à vie pour 900 USD, selon les informations publiées sur le Darknet par ses administrateurs. Les attaquants peuvent également souscrire à des services supplémentaires moyennant un supplément.

18 % des logiciels malveillants vendus en tant que service se sont révélés être des botnets, des loaders et des portes dérobées. Ces menaces sont regroupées en un seul groupe car elles ont souvent un objectif commun : télécharger et exécuter des logiciels malveillants tiers sur l’appareil de la victime. « Par exemple, le prix du chargeur Matanbuchus a tendance à varier dans le temps. En juin de cette année, il coûtait 4900 dollars américains par mois. Ce type de logiciel malveillant est plus cher que les infostealers, par exemple parce que le code malveillant lui-même est plus complexe et que l’opérateur fournit dans ce cas-là toute l’infrastructure, ce qui signifie que les abonnés n’ont pas à payer un supplément pour avoir l’accès à des services d’hébergement éprouvés. Il convient aussi de noter que le nombre d’abonnés à Matanbuchus est très limité, ce qui permet aux attaquants de passer inaperçus plus longtemps », a déclaré Alexander Zabrovsky, analyste de la Digital Footprint Intelligence de Kaspersky.

Caractéristiques du MaaS et hiérarchie des malfaiteurs
Les cybercriminels qui exploitent les plateformes MaaS sont communément appelés « opérateurs », tandis que ceux qui achètent ces services sont appelés « affiliés ». Après avoir conclu un accord avec les opérateurs, les affiliés ont accès à tous les composants nécessaires du MaaS, tels que les panneaux de commande et de contrôle (C2), les builders (programmes permettant de créer rapidement des échantillons uniques de logiciels malveillants), les mises à jour, l’assistance, les procédures et l’hébergement. Les panneaux sont un élément essentiel qui permet aux attaquants de contrôler et de coordonner les activités des machines infectées. Par exemple, via les panneaux, les cybercriminels sont en mesure d’exfiltrer des données, de négocier avec une victime, de contacter l’assistance, de créer des échantillons uniques de logiciels malveillants, et bien plus encore.
Certains types de MaaS, comme les infostealers, permettent aux affiliés de créer leur propre équipe. Les membres d’une telle équipe sont appelés des trafiquants : des cybercriminels qui distribuent des logiciels malveillants pour augmenter les profits et générer des intérêts, des primes et d’autres paiements de la part des affiliés. Les trafiquants n’ont pas accès au panneau C2 ni à d’autres outils. Leur seul objectif est d’accroître la diffusion du logiciel malveillant. Le plus souvent, ils y parviennent en déguisant des échantillons en cracks et en instructions pour pirater des programmes légitimes sur YouTube et d’autres sites web.

« Les cybercriminels échangent activement des biens et des services illicites, notamment des logiciels malveillants et des données dérobées, sur les zones clandestines d’internet. En comprenant comment ce marché est structuré, les entreprises peuvent se faire une idée des méthodes et des motivations des attaquants potentiels. Forts de ces informations, nous sommes en mesure d’aider les entreprises à élaborer des stratégies efficaces pour prévenir les cyberattaques en identifiant et en surveillant les activités des cybercriminels, en suivant le flux d’informations et en se tenant au courant des menaces et des tendances émergentes », a ajouté Alexander Zabrovsky.

Pour protéger votre organisation contre les menaces associées, les experts de Kaspersky recommandent de :
• Toujours maintenir les logiciels à jour sur tous les appareils que vous utilisez afin d’empêcher les attaquants de s’infiltrer dans votre système.
• Installer les correctifs pour les nouvelles vulnérabilités dès que possible. Une fois qu’ils sont téléchargés, les acteurs de la menace ne peuvent plus exploiter la vulnérabilité correspondante.
• Utiliser les derniers renseignements de Threat Intelligence pour rester au courant des TTP utilisées par les acteurs de la menace.
• Utiliser Kaspersky Digital Footprint Intelligence pour aider les analystes de sécurité à connaître la vision de l’adversaire sur les ressources de l’entreprise et découvrir rapidement les vecteurs d’attaque potentiels dont il dispose. Cela permet également de prendre conscience des menaces et vulnérabilités existantes afin d’ajuster vos défenses en conséquence ou de prendre des mesures de contre-attaque et de neutralisation en temps voulu.
• Si vous êtes confronté à un incident, le service de réponse aux incidents de Kaspersky vous aidera à réagir et à minimiser les conséquences, notamment en identifiant les nœuds compromis et en protégeant l’infrastructure contre des attaques similaires à l’avenir.