Qui tire profit des ransomwares ?

30septembre, 2021
Kaseya
Ransomware

Les ransomwares constituent le type de cyberattaque le plus susceptible de faire la une des journaux, car ils entraînent des conséquences dramatiques et dévastatrices. Subir une cyberattaque de ce type suffit à porter un coup fatal à la plupart des entreprises : 60 % des entreprises victimes d’une cyberattaque font faillite dans les six mois qui suivent. Protéger les entreprises contre les ransomwares est essentiel pour leur permettre de rester en activité. Un incident lié à un ransomware peut ruiner le budget d’une entreprise, mais c’est une véritable mine d’or pour les cybercriminels. Chaque attaque par ransomware nécessite la participation de nombreux acteurs, tous motivés par la même chose : l’argent. Qu’une entreprise paie ou non la rançon après avoir été victime d’une attaque par ransomware, l’économie de la cybercriminalité sur le dark web s’en trouve renforcée.  

Comment fonctionnent les attaques par ransomware ? 

Lorsqu’une entreprise paie une rançon, cet argent circule à travers tout le dark web. Les rançons ne vont pas uniquement à une seule personne ou organisation : même un acteur secondaire impliqué dans une attaque par ransomware en tire profit. Le secteur des ransomwares constitue un écosystème à part entière et contribue de manière significative à l’économie du dark web. Elle fait également partie du secteur du cybercrime en tant que service. C'est l'une des principales raisons pour lesquelles les cybercriminels de tous bords n'hésitent pas à se lancer dans une opération de ransomware. Ces criminels ont de fortes chances de repartir avec des sommes d'argent substantielles, et tout le monde est payé. 

Les grands groupes de ransomware puissants mènent rarement eux-mêmes leurs campagnes. Ils exploitent plutôt des plateformes de « cybercriminalité en tant que service » que les cybercriminels peuvent utiliser pour mener leurs opérations, recruter des talents, nouer des contacts avec des pigistes et recevoir des paiements. Le gang dirigeant tire ses revenus de sa part des bénéfices lorsqu'une attaque par ransomware réussie est menée sous son égide. Ces attaques sont menées par des prestataires indépendants alliés, appelés « affiliés ». Ce sont les affiliés qui effectuent le travail quotidien nécessaire à la mise en place d'une attaque par ransomware réussie.  

L'affilié est chargé de gérer tous les aspects d'une attaque par ransomware contre la cible qu'il a choisie, de la planification à l'exécution, en passant par le paiement. L'affilié peut être un petit gang ou simplement un groupe de travailleurs indépendants qui s'associent pour une mission ponctuelle. Il est courant que les affiliés engagent des spécialistes et des travailleurs indépendants pour mener à bien leurs opérations, comme des créateurs experts en spear phishing ou des hackers chevronnés. Parfois, le gang principal fournit le logiciel malveillant, mais l'affilié peut aussi préférer utiliser le sien. Quelle que soit la manière dont l'affilié mène à bien sa mission, si son attaque est couronnée de succès, il est tenu de reverser une partie des gains à la tête de la chaîne – le gang qui gère la plateforme – généralemententre 10 et 20 %du butin, ainsi que de payer les sous-traitants qu'il a engagés. Le reste de l'argent lui revient. 

On recrute : une organisation spécialisée dans les ransomwares 

Tout le monde recherche des collaborateurs de qualité, car les bons employés sont un élément clé de la réussite d’une entreprise – même les groupes de cybercriminels. Après que deux forums russes bien connus ont banni les opérateurs de ransomware, deux grands groupes de ransomware, identifiés comme Himalaya et LockBit, ont commencéà utiliser leurs propres sitespour promouvoir leurs outils de chiffrement et recruter de nouveaux affiliés. LockBit venait de lancer une nouvelle version de son ransomware phare et a tenté de mettre en avant les performances améliorées du logiciel pour attirer des talents. Himalaya a quant à lui misé directement sur l'argent,vantantsur son siteles rémunérations généreusesqu'il offre à ses collaborateurs, à l'instar de n'importe quelle autre entreprise à la recherche de personnel. 

Mais tous les groupes ne recrutent pas n'importe qui dans la rue. Plusieurs des plus grands opérateurs de ransomware ne recrutent pas du tout ouvertement. Au contraire, il faut connaître quelqu'un au sein de l'organisation pour y mettre un pied, exactement comme dans le milieu criminel traditionnel. Vous ne verrez pas d'offres d'emploi provenant d'une organisation comme REvil. Les experts soulignent que le groupe REvil préfère opérer en toute discrétion et s'appuyer sur son réseau d'affiliés et de contacts pour trouver de nouveaux membres lorsque cela s'avère nécessaire. D'autres acteurs de la cybercriminalité préfèrent également rester discrets et travailler dans l'ombre, et les groupes qui mènent également des opérations telles que le piratage des e-mails professionnels dans le cadre de leurs activités de ransomware souhaitent tout particulièrement rester invisibles. À la suite de la chasse internationale lancée contre les pirates informatiques impliqués dans l'attaque DarkSide contre Colonial Pipeline, de nombreux groupes, pirates et courtiers en données se sont encore davantage cachés. Les groupes étatiques ne recrutent jamais non plus, mais s'appuient plutôt sur un réseau fiable d'acteurs malveillants alliés pour mener à bien leurs activités.  

Les flux financiers sur le Dark Web 

La demande pour toutes sortes de services spécialisés dans la cybercriminalité est forte : selon les experts, 90 % des messages publiés sur les forums populaires du dark web proviennent d'acheteurs cherchant à engager quelqu'un pour des services de piratage. On estime que 69 % de ces offres d'emploi sur les forums du dark web visaient à recruter des cybercriminels pour pirater des sites web, tandis que 21 % cherchaient des malfaiteurs capables d'obtenir des bases de données d'utilisateurs ou de clients ciblées de manière spécifique. Tous les « hackers » ne sont pas réellement des hackers. Certains possèdent une expertise dans des domaines hautement spécialisés tels que l’ingénierie sociale ou les opérations de spear phishing. Les cybercriminels présumés peuvent également tirer profit de la vente de leurs propres technologies. Un peu plus de 2 % des messages sur les forums analysés par les chercheurs provenaient de développeurs cybercriminels qui vendaient des outils de piratage tels que des crackers de mots de passe, des skimmers de paiement, des logiciels malveillants, des ransomwares et d’autres programmes de piratage. Les hackers utilisent également ces forums pour rencontrer des personnes intéressées par la planification ou la participation à des cyberattaques — environ 1 % des messages publiés sur les forums du dark web étudiés provenaient de hackers à la recherche d'autres hackers pour former une équipe.    

Les organisations cybercriminelles sont également prêtes à payer le prix fort pour obtenir cet accès. Les forums populaires du dark web constituent en quelque sorte le LinkedIn des cybercriminels. Environ 40 % des annonces consultées par les chercheurs dans le cadre d'une étude réalisée en 2020 avaient été publiées par des acteurs du secteur du Ransomware-as-a-Service (RaaS). Les groupes proposaient jusqu'à 100 000 dollars pour des services d'accès initial, la plupart des acteurs fixant leur prix maximal à un peu plus de la moitié de ce montant, soit 56 250 dollars. Dans d'autres annonces publiées sur un forum populaire, les cybercriminels recherchaient spécifiquement des cibles aux États-Unis, au Canada, en Australie et en Grande-Bretagne, dont le chiffre d'affaires s'élevait à 100 millions de dollars ou plus. Pour cet accès, ils étaient prêts à payer entre 3 000 et 100 000 dollars – une somme suffisante pour tenter des employés, en particulier dans un contexte économique difficile.   

Les coulisses de l'attaque par ransomware contre Colonial Pipeline 

La plupart des attaques par ransomware sont des opérations complexes et obscures, dont les détails précis sont rarement révélés. Mais l'incident lié au ransomware qui a touché Colonial Pipeline a fait l'objet d'enquêtes, de recherches et de reportages approfondis, offrant ainsi à tous un aperçu rare du déroulement exact d'une attaque par ransomware qui endommage des infrastructures. Cet incident a encore davantage braqué les projecteurs sur les ransomwares et a incité les gouvernements du monde entier, y compris celui des États-Unis, à prendre des mesures pour protéger les infrastructures contre ces attaques et punir les cybercriminels. Le gouvernement américain a récemment mis en place un guichet unique dédié aux ransomwares afin d'aider les entreprises américaines à lutter contre ce problème. 

Le groupe de ransomwareDarkSides'est fait connaître pour avoir mené une attaque réussie contre Colonial Pipeline, empochant une rançon estimée à un peu plus de 4 millions de dollars. Mais cette opération n'a pas été menée directement par les développeurs et les opérateurs de DarkSide. Le piratage de Colonial Pipeline a en effet été réalisé par une filiale de cette vaste organisation, à l'aide du logiciel malveillant propriétaire de DarkSide. Cette filiale a recruté ses propres sous-traitants via des forums du dark web et s'est procuré les ressources nécessaires sur les marchés de données et les dépôts du dark web pour mener à bien son projet. 

C'est alors que le groupe de pirates a déclenché son piège, prenant Colonial Pipeline pour cible lors d'une attaque dévastatrice qui a paralysé le plus grand oléoduc des États-Unis. Le point d'entrée du gang a été un simple mot de passe d'employé compromis qui leur a donné les clés du royaume, probablement obtenu par spear phishing. L'affilié de DarkSide a alors pu s'infiltrer facilement dans le système de sécurité, certes laxiste, de Colonial Pipeline et y déposer sa cargaison toxique : le ransomware propriétaire de DarkSide, destiné à chiffrer les systèmes et les données de Colonial Pipeline. Vint ensuite la partie facile : l’affilié a programmé le déploiement du malware, formulé sa demande de rançon et s’est installé confortablement pour attendre son argent.  

Un peu plus d’une semaine après l’intrusion initiale, l’infection par le ransomware a commencé, marquant le début de la phase finale de l’opération menée par les pirates. Un employé qui commençait sa journée de travail dans la salle de contrôle centrale de Colonial Pipeline a vu s’afficher sur son ordinateur une demande de rançon exigeant le paiement en cryptomonnaie et a appelé son supérieur. C'est alors que la course contre la montre a commencé pour Colonial Pipeline, qui a tenté de devancer l'infection afin de préserver ses systèmes et ses données. Après avoir fermé le pipeline pour tenter de limiter les dégâts et d'empêcher les pirates de pénétrer plus avant, Colonial n'a eu d'autre choix que de faire appel à des experts – la situation dépassait largement ses capacités internes.  

Les pirates ont paralysé Colonial Pipeline, provoquant des conséquences désastreuses. Ils ont également dérobé près de 100 gigaoctets de données. Au final, l’attaque menée par cet affilié de DarkSide a été un succès retentissant. Colonial Pipeline a rapidement versé aux attaquants une rançon de 4,4 millions de dollars. Selon les chercheurs deFireEye, les affiliés de DarkSide sont tenus de reverser au groupe mère jusqu'à 25 % des rançons inférieures à 500 000 dollars, et 10 % de toute rançon perçue supérieure à 5 millions de dollars. 

Les ransomwares sont très rentables, en particulier la variante à double chiffrement privilégiée par DarkSide. Avant que le groupe ne disparaisse de la scène après l'incident de Colonial Pipeline, DarkSide avait perçu 90 millions de dollars en paiements de rançon en bitcoins au cours de sa brève existence, selon les analystes de la blockchain chezElliptic. Ceux-ci ont en outre estimé que le montant moyen des rançons versées lors d'une opération menée par DarkSide s'élevait à environ 1,9 million de dollars. Sur le butin total récolté par les opérations de DarkSide, ces experts estiment que 15,5 millions de dollars sont allés au développeur de DarkSide, tandis que 74,7 millions de dollars ont été versés à ses affiliés. 

Mettez fin aux ransomwares en mettant fin au phishing 

L'un des meilleurs moyens de protéger une entreprise contre les ransomwares consiste à la protéger contre le phishing. On estime que 94 % des ransomwares parviennent aux entreprises par e-mail. Ces messages recourent souvent à des techniques sophistiquées d'ingénierie sociale pour inciter les employés à télécharger une pièce jointe, à consulter un site web malveillant ou à communiquer leurs identifiants à des cybercriminels. Pour lutter contre les ransomwares, il faut avant tout empêcher les messages de phishing d'atteindre les boîtes de réception des employés. 

Votre entreprise a besoin d'une solution de sécurité des e-mails performante et automatisée, capable de vous offrir une protection avancée contre les messages malveillants contenant des menaces telles que les ransomwares, sans pour autant vous coûter une fortune.Graphus ce besoin.  

  • Une solution sophistiquée d'automatisation de la sécurité des e-mails met en place trois niveaux de protection entre votre entreprise et les messages de hameçonnage 
  • Les solutions d'e-mail automatisées telles queGraphus 40 % de messages malveillants en plus que les solutions classiques ou un SEG 
  • L'IA intelligente n'a jamais besoin de rapports sur les menaces ; elle utilise plutôt plus de 50 critères de comparaison pour détecter les attaques de spear phishing ciblées, les ransomwares, les attaques « zero-day » et d'autres menaces complexes. 

N'attendez pas d'avoir à payer les factures d'une attaque par ransomware pour renforcer la sécurité de votre messagerie électronique : 60 % des entreprises victimes d'une cyberattaque font faillite. Mettez immédiatement fin au phishing avecGraphus la solution de protection contre le phishing la plus simple, la plus automatisée et la plus abordable du marché. Contactez dès aujourd'hui l'un de nos spécialistes en solutions et mettez en place pour votre entreprise une protection qui ne prend jamais de jour de congé. 

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Du phishing aux ransomwares : comment Kaseya 365 protège vos applications SaaS

Les applications SaaS, telles que Microsoft 365 et Google Workspace, sont au cœur de presque tous les aspects des opérations numériques actuelles. Cependant, à mesure que les entreprises

Lire l'article de blog

Qu'est-ce que le « ransomware-as-a-service » (RaaS) ?

Le « ransomware-as-a-service » est un modèle économique dans lequel des cybercriminels développent des logiciels de rançon et les vendent ou les louent à des affiliés. Découvrez comment cela fonctionne et comment y mettre un terme.

Lire l'article de blog

Évitez les déboires informatiques pour la Saint-Valentin grâce à la détection des ransomwares

En cette Saint-Valentin, les cybercriminels du monde entier cherchent à vous briser le cœur. Leur objectif est de pirater

Lire l'article de blog