Juste pour l’année 2020, les groupes de ransomware se sont partagés la modique somme de 692 millions de dollars issue de leurs attaques collectives, une augmentation de 380 % par rapport aux six années précédentes combinées (144 millions de dollars de 2013 à 2019). Le succès du RaaS a également attiré d’autres acteurs, tels que les affiliés et les courtiers en accès initiaux (IABs) qui jouent un rôle prépondérant dans l’écosystème du ransomware, souvent même plus important que les groupes de ransomware eux-mêmes.

"Alors que les groupes de ransomware obtiennent la plus grande notoriété et l’attention pour les attaques, ces groupes vont et viennent. Malgré le roulement, les affiliés et les IAB restent des éléments importants dans cet espace et une plus grande attention devrait être accordée à ces deux groupes dans l’écosystème en général," déclare Satnam Narang, Senior Staff Research Engineer de Tenable.

Les affiliés qui gagnent entre 70 à 90 % du fruit de la rançon, se chargent des basses besognes, qui consistent à gagner l’accès aux réseaux via des méthodes éprouvées, telles le spearphishing, le déploiement d’attaques par force brute sur des systèmes avec protocole RDP (Remote Desktop Protocol), à exploiter des vulnérabilités Zero Day non traitées et à acheter des informations d’authentification volées sur le Dark Web. Les affiliés s’associent également parfois aux courtiers IAB, des individus ou groupes qui ont déjà gagné un accès aux réseaux et revendent leur sésame au plus offrant. Leurs tarifs se monnayent généralement de 303 dollars pour un accès au panneau de configuration, jusqu’à 9 874 dollars pour un accès RDP.

L’étude a révélé que la domination actuelle du ransomware était directement liée à l’émergence d’une technique connue sous le nom de double extorsion. Cette tactique, lancée par le groupe de ransomware Maze, implique le vol de données sensibles auprès de victimes, couplé à la menace de publication de ces fichiers sur des sites web qui divulguent les fuites d’informations. Les données sont également chiffrées afin de les rendre totalement inaccessibles pour la victime. Les groupes de ransomware ont récemment agrémenté leur répertoire de toute une variété de techniques d’extorsion, allant du lancement d’attaques DDoS à la prise de contact des clients de leurs victimes, rendant la tâche des défenseurs encore plus difficile. Ces tactiques font partie de l’arsenal des gangs de ransomware pour renforcer la pression sur l’entreprise des victimes.

" Avec le RaaS et la double extorsion, la boîte de Pandore a été ouverte et les attaquants trouvent des failles dans nos défenses actuelles et en profitent. En 2021, La Commission nationale de l’informatique et des libertés (CNIL) a reçu 5 037 notifications de violations de données personnelles - environ 14 notifications par jour - soit une augmentation de 79 % par rapport à 2020 dont 58 % étaient le résultat d’une attaque par ransomware, soit une augmentation de 128 % par rapport à l’année précédente. Comme nous l’avons vu, toutes les organisations sont vulnérables. Même les hôpitaux, les écoles et les petites entreprises ont été ciblés par des acteurs de la menace. Comme les écosystèmes de la cybercriminalité continuent de se développer, tout le monde doit se considérer comme une cible", a déclaré Satnam Narang. "Il est impératif que ces entités se préparent à l’avance afin d’être dans la meilleure position possible pour se défendre contre les attaques de ransomware et y répondre. "