Le marché des Ransomware-as-a-service sur le darknet

Au cours des dernières années, les rançongiciels ont été l’une des cybermenaces les plus largement répandues. La tendance actuelle montre que les organisations telles que les entreprises, les universités, les hôpitaux et même les municipalités deviennent les cibles principales, tandis que les citoyens ordinaires sont touchés dans une moindre mesure.

En raison du succès des rançongiciels, les ransomware-as-a-services (rançongiciels en tant que service en français) (RaaS) ont gagné en popularité. Les RaaS sont disponibles sur le darknet pour les personnes sans compétences en programmation. Les vendeurs peuvent fournir des rançongiciels adaptés aux besoins des acheteurs dans différents formats, tels que sous forme de code source que l’acheteur compile lui-même, des binaires précompilés ou d’interface où l’acheteur saisit des informations sur les victimes.

Dans cet article, Per Hakon Meland et ses collègues ont cherché à mieux comprendre le marché des RaaS sur le darknet en répondant aux questions de recherche suivantes : quelle est la gravité de la menace RaaS ? Quelles sont les chaînes de valeur liées à ce marché ? Leur étude s’est étendue sur deux ans, avec quatre phases de collecte de données :

• Phase 1 : Les auteurs ont commencé leur enquête avec un petit nombre de sites pour mieux comprendre la structure et le fonctionnement du darknet.

• Phase 2 : Ils ont élargi leur échantillon de recherche avec des sites supplémentaires, des données historiques et des entrevues publiées avec les parties prenantes.

• Phase 3 : Les chercheurs ont mis à jour leur échantillon de sites pour capturer les dernières tendances et développements concernant les RaaS.

• Phase 4 : À la fin de la phase de collecte des données, plusieurs de leurs sources de données précédentes ont été fermées, les chercheurs ont dû mettre à jour leur échantillon une fois de plus.

Les résultats de l’étude mettent en évidence plusieurs aspects du marché des RaaS. Premièrement, les auteurs ont noté une forte résilience des fournisseurs. Le démantèlement des marchés dominants du darknet, Alphabay et Hansa après une opération Europol, a conduit à la croissance rapide du marché Dream. Ce marché a pu prendre le relais principalement en raison de ses performances par rapport à ses concurrents de l’époque. Une autre raison peut être liée à l’établissement rapide de la confiance entre les parties prenantes. En effet, Dream avait une fonctionnalité spécifique qui permettait aux fournisseurs de présenter leur note précédente d’Alphabay et Hansa sur leur page de profil. Cette fonctionnalité a aidé les fournisseurs à maintenir leur réputation existante et les acheteurs pouvaient baser leur confiance sur ces notations.

La taille du marché pour les Raas était plutôt petite. Les drogues constituent les produits les plus populaires vendus sur les marchés du darknet. Les RaaS se trouvent généralement dans les catégories de biens ou services numériques, où les articles les plus populaires sont les cartes de débit et cartes de crédit.

Les chercheurs ont également trouvé plusieurs indications d’escroqueries concernant la vente de RaaS. La plupart des fournisseurs renommés de RaaS avaient obtenu leur cote élevée grâce aux ventes de cartes de crédit ou de drogues et non à cause de la vente de RaaS. En outre, les informations descriptives des RaaS avaient tendance à être copiées à partir d’autres produits RaaS et de nombreux avis d’acheteur y compris les alias et les évaluations, semblaient être créées artificiellement, car elles étaient identiques et enregistrées en même temps.

Enfin, concernant le marché cible des RaaS, les auteurs ont constaté que, sur la base de la description des articles, la plupart des RaaS disponibles étaient destinés aux experts tandis qu’un peu plus d’un tiers étaient accessibles aux novices. De plus, les RaaS populaires incluaient généralement des liens vers des guides détaillés et des didacticiels avec des instructions.

Cet article met en lumière les activités de RaaS sur le darknet. Les RaaS semblent être un petit marché au sein du darknet, et les fournisseurs sont assez résistants face aux fermetures.

Pour citer : Meland, P. H., Bayoumy, Y. F. F. and Sindre, G.. (2020). The Ransomware-as-a-Service economy within the darknet. Computers & Security, 92.