La semaine dernière, les opérateurs du rançongiciel Sodinokibi ont infiltré le système informatique du cabinet d'avocat des stars, Brubman Shire Meiselas & Sacks. Après avoir publié des dossiers liés à Lady Gaga, ils menacent désormais de publier des données compromettantes sur Donald Trump. Pour les satisfaire, le cabinet devrait payer une rançon de 42 millions de dollars avant jeudi.

La rançon a doublé en trois jours, de 21 à 42 millions de dollars. La semaine dernière, les opérateurs du rançongiciel Sodinokibi (aussi appelé Revil), réputés pour leur inflexibilité, ont mis la main sur le site du cabinet d’Allen Grubman. Cet avocat représente Lady Gaga, LeBron James, Elton John ou encore Nicky Minaj, parmi des dizaines de personnalités très populaires.

Le rançongiciel  Sodinokibi copie les données, puis les chiffre, ce qui les rend illisibles et donc inutilisables. Selon l’organisation du réseau de la victime, c’est une partie ou l’ensemble du système informatique qui est compromis. Et il n’existe qu’un seul moyen pour lever le chiffrement : utiliser la clé de déchiffrement, propriété des hackers. Pour l’obtenir, il faut évidemment payer. Cette fois, les malfaiteurs réclament 42 millions de dollars, payés en Monera, une cryptomonnaie moins surveillée que le Bitcoin.

Les hackers pourraient revendre les précieuses des données volées à d’autres malfaiteurs. // Source : Louise Audry pour Numerama

Les hackers ont mis la main sur des contrats, des échanges personnels ou encore des accords de non-divulgations liés à l’activité des stars représentées par le cabinet. Ces documents contiennent des informations secrètes qui pourraient servir à alimenter un chantage à la divulgation. Ils donnent aussi accès à un lot de données personnelles : numéros de téléphone, emails, voire dans certains cas des numéros de sécurité sociale. Puisqu’elles appartiennent à des personnes dont la fortune s’élève au-delà du million, voire de la centaine de millions de dollars, elles pourraient se revendre à très bon prix sur des forums de hackers.

Payer la rançon, c’est faire confiance aux rançonneurs

Le prix de la rançon dépasse tous les records. À titre de comparaison, les opérateurs de Sodinokibi avaient réclamé 2,5 millions de dollars aux villes texanes qu’ils avaient hackées l’an dernier. Comme l’explique l’Anssi dans son rapport annuel sur la menace rançongiciel, les montants exigés ne s’élèvent que rarement au-dessus des centaines de milliers de dollars, même pour de grandes entreprises.

Le montant demandé dans un premier temps — 21 millions de dollars — était déjà proche du record tout opérateur confondu, de 25 millions de dollars. En le doublant, Sodinokibi crève un nouveau plafond. Mais le cabinet d’avocat a déjà annoncé qu’il ne paiera pas.

La victime suit ainsi l’avis du FBI, qui a ouvert une enquête sur l’affaire. Cette préconisation est partagée par l’ensemble des experts, car les bénéfices du paiement de la rançon sont trop dépendants de l’honnêteté des cybercriminels. Rien ne garantit qu’ils remettront la clé de déchiffrement. Et même s’ils donnent la clé, rien n’indique qu’ils n’ont pas déjà vendu les données compromises sur des marchés noirs. Dans tous les cas, l’entreprise devra gérer un problème de confiance dans son système.

Plutôt que de payer, la victime va donc redéployer son système informatique à partir de ses dernières sauvegardes. L’ampleur des dégâts causés par l’attaque dépendra en partie de la régularité et de l’exhaustivité des sauvegardes.

Tu bluffes Sodinokibi !

Pour contourner ce mécanisme, les rançongiciels ont adapté leurs méthodes ces deux dernières années. Avant de chiffrer les données, ils les copient désormais sur leurs propres serveurs. Puis ils les utilisent comme levier de pression : ils postent sur des forums ou des blogs dédiés des parties de plus en plus importantes de la base de données. Ces fuites permettent de prouver qu’ils possèdent les données, tout en poussant leurs victimes à changer d’avis sur le paiement de la rançon. Sur son site dédié, Sodinokibi a déjà publié les données d’une vingtaine de ses victimes.

Dans le cas du cabinet d’avocat, les rançonneurs ont d’abord publié des données sur la chanteuse et actrice Lady Gaga, accompagnées d’une capture d’écran du prétendu dossier dérobé au cabinet d’avocat. Ils ont ensuite laissé entendre qu’ils disposaient de « tonnes de linge sale » sur Donald Trump.

La menace a été immédiatement écartée par le cabinet : il affirme n’avoir jamais travaillé pour le président américain. Samedi, les cybercriminels ont donc publié une première vague de 169 emails, censés prouver qu’ils disposent d’informations sur l’ancien businessman. Ils écrivaient : « M. l’Avocat dit que Donald n’a jamais été leur client. Et il dit que nous bluffons. Et bien. La première partie, avec les informations les plus inoffensives, sera postée ici.  »

Mais ces fichiers, consultés par les journalistes de Variety et Business Insider, ne font que mentionner de loin l’activité du président. Ils n’appartiennent pas à l’homme politique, et ne contiennent en aucun cas des informations compromettantes.

Jeudi, les révélations ?

Après avoir fait monter les attentes, cette révélation poussive relance la piste du bluff : les opérateurs n’auraient pas les informations, et voudraient juste jouer sur un effet d’urgence, puisque l’élection présidentielle se tiendra à la fin de l’année. Si Grubman Shire Meiselas & Sacks ne paie pas, comme il l’a répété, nous saurons jeudi si les cybercriminels disposent vraiment de données compromettantes.

Les rançonneurs ont déjà prévu de faire monter leurs représailles en cas de non-paiement : « nous mettrons aux enchères des données clients chaque semaine sur les forums d’échanges d’information.  » Peu importe qui achète les données, les opérateurs veulent leur argent.

Crédit photo de la une : Gage Skidmore

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux