La menace du rançongiciel évolue constamment, avec des groupes de plus en plus sophistiqués qui s’attaquent désormais aux grandes entreprises plutôt qu’aux particuliers. C’est ainsi qu’Outpost2, une société spécialisée, voit le monde des ransomwares et se propose dans un article intéressant de montrer l’arrière du décor.
De plus en plus de ces groupes utilisent le modèle « Ransomware as a Service » (RaaS) pour obtenir rapidement des logiciels malveillants. Ce modèle implique plusieurs acteurs, notamment les administrateurs, qui fournissent aux affiliés l’accès à des logiciels malveillants, une infrastructure et parfois même un support dans les négociations avec les victimes.
Les vendeurs et les revendeurs se chargent de la vente et de la publicité des offres RaaS sur les forums clandestins. Les affiliés sont les véritables attaquants, qui déploient le logiciel malveillant fourni par le RaaS. Les courtiers d’accès initial, qui vendent des accès distants aux réseaux d’entreprise, sont également impliqués.
L’attribution de la menace reste dans ce contexte un défi majeur pour les analystes et les chercheurs, car les actions sont réparties entre différents acteurs distincts.
Les administrateurs RaaS ne s’attaquent généralement pas directement aux victimes, mais fournissent plutôt des éléments nécessaires aux affiliés pour lancer l’attaque. L’attribution pointe finalement vers l’affilié et non vers le fournisseur RaaS. Les courtiers d’accès initial ont également un rôle important à jouer dans le succès des attaques, et leur activité doit être attribuée à eux-mêmes et non aux affiliés.