Depuis quelques années, les attaques par ransomware occupent le devant de la scène en tant que principales cybermenaces. À l’époque, le modèle « Ransomware-as-a-Service » (RaaS) a ouvert le chemin de la cybercriminalité à des criminels moins qualifiés, conduisant finalement à davantage de vulnérabilités et à des profits plus élevés.
Les administrateurs et les développeurs de RaaS ont longtemps été considérés comme des partenaires prioritaires, négligeant souvent les affiliés, perçus comme étant moins compétents. Cette situation, combinée à l’absence de perturbations dans l’écosystème RaaS, a créé une atmosphère dans laquelle ces affiliés moins qualifiés peuvent prospérer et devenir des cybercriminels très compétents, capables d’agir seuls.
Une remise en cause du modèle standard des groupes Raas
À la suite de l’attaque Colonial Pipeline, les forums de cybercriminalité les plus populaires ont interdit aux acteurs du ransomware d’y faire leur publicité. De ce fait, il n’existe plus de plateformes tierces sur lesquelles les groupes RaaS peuvent activement recruter, montrer leur ancienneté, proposer des offres, faire tester leurs programmes binaires par des modérateurs ou régler leurs différends.
En raison de ce manque de visibilité, il est aujourd’hui plus difficile pour les groupes RaaS d’établir ou de maintenir leur crédibilité. A l’avenir, il sera également plus difficile pour les développeurs RaaS de maintenir leur position actuelle au premier plan. Ces événements ont ébranlé leur position de confiance.
Ces dernières années, les ransomwares ont généré des milliards d’euros et ce n’est qu’une question de temps avant que de plus en plus d’acteurs estimant ne pas recevoir une juste part de ces revenus se manifestent.
La notion de confiance est un élément primordial de l’écosystème RaaS, notamment le fait de tenir parole et de rémunérer comme il se doit. Lorsqu’ils jugent que leur contribution n’est pas récompensée à leur juste valeur, les cybercriminels peuvent alors causer des problèmes au sein de l’organisation. Récemment, un ancien affilié de Conti, mécontent de sa part financière, a décidé de divulguer le matériel de formation de l’organisation lors de la conduite d’attaques de Conti, ainsi que des informations sur des opérations de ransomware, dont Cobalt Strike.
2022 devrait être le témoin de l’émergence de groupes cybercriminels plus autonomes, qui feront basculer l’équilibre des forces au sein de l’éco-climat RaaS, de ceux qui contrôlent les ransomwares à ceux qui contrôlent les réseaux des victimes.
Changement de rapport de force du modèle RaaS : un rôle à jouer pour les opérateurs moins qualifiés
Dans un groupe cybercriminel organisé, il existe une hiérarchie souvent décrite comme une structure pyramidale. Une organisation similaire aux différents groupes criminels tels que La Cosa Nostra et les cartels. Toutefois, en raison d’une professionnalisation et d’une spécialisation accrues de la logistique pour mener une attaque, les groupes ont évolué vers des groupes plus opportunistes basés sur des réseaux qui collaborent de manière plus fluide, en fonction de leurs besoins du moment.
Si la collaboration entre acteurs malveillants dans le monde de la cybercriminalité n’est pas nouvelle, la hiérarchie d’un groupe RaaS est plus rigide en raison du déséquilibre de pouvoir entre les développeurs/administrateurs et les affiliés du groupe. Cependant, on assiste à un revirement de situation. En effet, les administrateurs et les développeurs de RaaS étaient considérés comme des partenaires privilégiés, mais négligeaient souvent les affiliés, qu’ils jugeaient moins compétents. Cette situation, associée à l’absence de perturbations dans l’écosystème RaaS, a créé une atmosphère propice à l’épanouissement de ces affiliés moins qualifiés, qui sont devenus des cybercriminels très compétents.
Avec l’arrivée sur le marché d’un plus grand nombre d’acteurs du ransomware, il semble que les affiliés les plus talentueux soient désormais en mesure de mettre leurs services aux enchères pour obtenir une plus grande part de bénéfices, et peut-être d’exiger un droit de regard plus important sur les opérations. Par exemple, l’introduction de l’énumération d’Active Directory dans le ransomware DarkSide pourrait avoir pour but de supprimer la dépendance à l’égard de l’expertise technique des affiliés.
Même s’il est encore trop tôt pour savoir si cela fonctionnera réellement, ces changements signalent un retour potentiel aux prémices des ransomwares, avec des opérateurs moins qualifiés dont la demande augmente parallèlement à l’expertise des développeurs de ransomwares.
