Les ransomwares, aussi appelé rançongiciels ont le vent en poupe et pour cause, ils sont extrêmement rentables. A tel point que les hackers ont élaboré autour de ces malwares de véritables modèles économiques, parfois structurés de manière très professionnelle.
Depuis quelques années, ces logiciels malveillants infectent les ordinateurs avant de chiffrer toutes les données qui y sont présentes. La victime se voit alors proposer une rançon pour obtenir la clé de décryptage permettant de récupérer ses données. Ce genre de pratique prolifère chez les internautes qui comptent de plus en plus de victimes. La raison d’une telle augmentation est autant la rentabilité pour les cyberattaquants mais aussi la facilité à les mettre en place.
Mais comment un tel « business » se met-il justement en place ? Qui l’organise et le gère ? Les chercheurs en sécurité de Kaspersky viennent de publier une étude basée sur l’observation de certains groupes de hackers spécialisés dans ce type d’attaque. Elle apporte quelques réponses.
Une organisation pyramidale
Pour optimiser au maximum la diffusion de leurs ransomwares et accumuler les rançons, bon nombre de groupes de hackers ont mis au point un système de distribution indirecte, à l’image de ce qui se pratique dans des secteurs économiques on ne peut plus légaux. L’organisation pyramidale se décompose de la manière suivante : à son sommet se trouve le développeur du malware – appelé aussi « creator » – qui endosse le rôle de directeur technique en charge de la création des fonctionnalités et des patchs de mise à jour. Il collabore en liens étroits avec un « manager » qui va être en charge du recrutement de responsables de programmes affiliés – « affiliate program owners » -, jouant le rôle de grossistes. La mission de ces derniers est de recruter à leur tour des partenaires et de leur fournir tous les outils d’infection dont ils estiment avoir besoin.
Un business très lucratif
Ces partenaires vont alors être ceux en charge de la diffusion du ransomware aux victimes. Pour y parvenir, les techniques possibles ne manquent pas : campagnes de spam, ingénierie sociale, piratage de serveurs dédiés, exploit kits, etc. Les partenaires ont beau être au pied de la pyramide, ils touchent malgré tout des sommes substantielles, pouvant – selon des publicités trouvées sur le darkweb – aller de 25% à 85% de la rançon en fonction du volume d’affaire. D’après Kaspersky, un partenaire dynamique gagne environ entre 40 et 50 bitcoins par mois, soit pas loin de … 40 000 euros !
A l’autre bout de la pyramide, le « creator » situé au sommet ne régit pas forcément tout ce schéma de rétribution sur commission, il peut également simplement vendre son code source à un autre pirate qui se chargera alors de monter sa propre affaire. Sachant qu’un code source de ransomware vaut plusieurs milliers de dollars, parfois plusieurs dizaines de milliers, de nombreux développeurs se contentent de vendre des « builders », plus accessibles, c’est-à-dire des programmes qui permettent de générer l’exécutable malveillant en adaptant les fonctionnalités et les paramètres.
On le voit donc, les ramifications sont nombreuses dans ce pan de la cybercriminalité qui se professionnalise autour du business de plus en plus juteux des ransomwares. La cybercriminalité se développe, il faut donc veiller de son côté à sa propre cybersécurité !