Le Ransomware as a Service (RaaS) : un phénomène mondial

Le rançongiciel, terme devenu aujourd’hui incontournable, est un logiciel malveillant dont le but est de chiffrer l’ensemble des fichiers d’une ou plusieurs machines, est devenu la pierre angulaire d’une véritable économie cybercriminelle. Dans ce marché désormais bien structuré, les opérateurs développent des ransomwares qu’ils vendent ensuite à des « affiliés » moyennant une quote-part de la rançon perçue. Opérateurs et affiliés miment ainsi la relation que pourraient entretenir deux partenaires commerciaux, l’un vendant ses produits à ses clients qui, moyennant le versement d’une commission, utilisent le produit vendu. En parallèle, des services clients après-vente accompagnent les affiliés dans leurs opérations et les assistent en cas de difficulté avant, pendant ou après une attaque.

Concernant les chiffres[1], Il est particulièrement difficile d’être exhaustif quant au nombre et au montant global des attaques, puisque les structures préfèrent souvent payer la rançon et passer l’incident sous silence. Emsisoft estime entre 18 et 74 milliards de dollars les coûts globaux associés aux attaques par ransomwares.

De plus, il y aurait environ 130 familles de ransomwares coexistant en parallèle. À noter que chaque famille engendre des dizaines de milliers de variantes. En 2021, les trois ransomwares les plus présents parmi les souches identifiées étaient Gandcrab, Babuk et Cerber selon les experts de VirusTotal.

Sur le plan géographique, toutes les régions du monde sont touchées. Néanmoins, elles ne le sont pas toutes avec la même importance. Selon SonicWall, les États-Unis représentent la principale victime avec un nombre d’attaques 4 fois supérieur à la somme de celles des 9 autres pays les plus touchés.

Washington pointe d’ailleurs souvent du doigt certains États en raison des liens ténus qu’ils entretiennent avec certains groupes. On peut notamment citer la Russie avec REvil et TrickBot, mais également la Chine avec le groupe Hafnium et la Corée du Nord soupçonnée d’être derrière Wannacry.

Un durcissement très progressif de la position des États depuis Wannacry

Depuis la découverte de Wannacry en 2017, tous les secteurs et toutes les tailles d’entreprises sont touchés, et même les infrastructures publiques jusqu’aux hôpitaux et collectivités territoriales. Le déclic est toutefois survenu pour beaucoup à la suite de l’attaque contre Colonial Pipeline en mai 2021. En effet, le ransomware du groupe REvil a entraîné des pénuries d’essence sur l’ensemble de la côte Est des États-Unis, ce qui a même amené Washington à s’emparer du sujet. Diligenté sur le sujet, le FBI a finalement réussi à retracer les flux monétaires et à récupérer une partie de la rançon.

Désormais, l’ensemble de la classe dirigeante américaine s’est saisi du sujet à commencer par les politiques. Ainsi, début octobre, la sénatrice Élizabeth Warren a proposé le « Ransom Disclosure Act »[2] afin d’obliger les entreprises touchées par un ransomware à avertir les autorités. En parallèle, le DoJ (Department of Justice) a classé les ransomwares[3]  comme « menace à la sécurité intérieure ». De ce fait, le ransomware est considéré comme une menace similaire à celle posée par le terrorisme international. Cependant, tout comme le terrorisme global, le problème des ransomwares ne peut être abordé seul d’où la récente volonté des États-Unis d’entamer une discussion à l’international.

Émergence d’un multilatéralisme en matière de lutte contre les ransomwares[4]

Dans cette lignée, le 13 octobre a eu lieu le sommet « Counter-Ransomware Initiative » réunissant 30 pays alliés des États-Unis[5]. Parmi les absents, la Chine et la Russie, pourtant principales concernées par le sujet.

Cependant, Moscou a fait preuve de bonne volonté face à la main tendue américaine lors du sommet de Genève le 16 juin 2021[6]. Les deux présidents y ont officiellement annoncé la reprise de leur collaboration en matière de cybersécurité. Parmi les éléments, on peut citer la reprise des contacts entre Centres Nationaux de Réponse à Incidents (CERT) ainsi que les échanges de documents et de prisonniers dans le cadre du Traité sur l’entraide judiciaire dans les affaires pénales de 1999.

Sur le terrain, la coopération internationale policière a le vent en poupe comme l’illustrent de multiples opérations conduites conjointement :

• En 2013, Europol a créé le European Cybercrime Center (EC3) pour créer un cadre européen à la coopération entre forces de l’ordre européennes ;
•  En février 2021, les autorités ukrainiennes et françaises ont coopéré contre le groupe Egregor ;
• En juin 2021, l’Ukraine, la Corée du Sud, Interpol et les États-Unis ont travaillé contre le groupe de ransomware Clop.
• En octobre 2021, les forces de l’ordre ukrainiennes, la Gendarmerie Nationale française, le FBI, Europol et Interpol ont œuvré contre deux opérateurs de ransomware dont l’identité a été tenue secrète.

Au-delà des effets d’annonce, les pays peinent encore à se mettre d’accord sur les priorités et sur la stratégie à adopter. C’est en réalité davantage un problème politique qu’opérationnel. Si les forces de l’ordre coopèrent très bien entre elles, c’est entre dirigeants politiques que les litiges perdurent. En effet, certains États n’ont peut-être pas totalement intérêt à faire cesser les activités des opérateurs de ransomwares puisque, dans un contexte de guerre économique, ces derniers représentent indirectement un outil de déstabilisation majeur (économique, espionnage, …).

Ainsi, un multilatéralisme en matière de lutte contre les ransomwares, sans la Chine et avec une faible volonté russe, risque rapidement d’éprouver des difficultés.

---

[1] https://blog.emsisoft.com/en/38426/the-cost-of-ransomware-in-2021-a-country-by-country-analysis/

[2] https://leportail.xmco.fr/watch/advisory/CXN-2021-4636

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://leportail.xmco.fr/watch/advisory/CXN-2021-4778

[5] https://www.nbcnews.com/tech/security/white-house-host-virtual-ransomware-summit-30-countries-not-russia-rcna2933

[6] https://www.kommersant.ru/doc/5007866