Le groupe de rançonneurs Sodinokibi ouvre un équivalent d'eBay pour les données qu'ils ont volées. Pour en faire la promotion, ils comptent profiter du hack du cabinet d'avocat des stars, Brubman Shire Meiselas & Sacks, qui contient des affaires impliquant Lady Gaga, Madonna et de dizaines d'autres célébrités.

Le 2 juin, le groupe de cybercriminels Sodinokibi a doté son site d’une plateforme d’enchère pour les bases de données qu’il vole, comme l’a remarqué le Bleeping Computer. Les opérateurs de rançongiciels comme lui sont habitués à réclamer des rançons et à menacer de publier les données de leur victime, mais la mise en place d’une plateforme de vente est une nouvelle pratique.

Grâce à la plateforme, les hackers vont pouvoir générer un gain chaque fois qu’ils parviennent à déployer leur malware. Soit la victime paie la rançon pour déchiffrer ses données, soit d’autres cybercriminels paieront pour exploiter les données volées.

Sodinokibi a déjà vendu des données supposément compromettantes sur Donald Trump. // Source : Gage Skidmore / Flickr

Sodinokibi a déjà fait parler de lui en mai, grâce au piratage du cabinet d’avocat GSMLaw, qui leur a ouvert l’accès aux données de dizaines de célébrités.

Les cybercriminels ont commencé par publier une partie des données de Lady Gaga, puis ils ont déclaré la vente de données supposément compromettantes sur Donald Trump pour plus d’un million d’euros. Puisque le cabinet refuse de payer les 42 millions de dollars exigés, les rançonneurs ont annoncé qu’ils mettraient les données à la vente. Prochaine victime : la chanteuse Madonna.

Des milliers d’euros à déposer pour participer aux enchères

Bien que la plateforme d’enchère se trouve sur le dark web, les cybercriminels ont établi des règles précises, dont ils sont les seuls garants. Les deux premières bases de données à la vente — liées pour l’une à une entreprise agroalimentaire, pour l’autre à une entreprise de produits agricoles — se présentent de la même manière.

Les hackers résument le contenu des données en quelques lignes, puis indiquent un prix de départ, un prix d’achat immédiat (le ‘Blitz Price’), ainsi que le dépôt nécessaire pour accéder à l’enchère. Dans le cas de la base de données de l’entreprise agroalimentaire, les montants sont, respectivement, de 100 000, 200 000 et 10 000 dollars.

Tout potentiel enchérisseur doit se créer un compte unique à la vente à laquelle il souhaite participer. Ensuite, il doit déposer 10 % du prix de départ (les 10 000 dollars évoqués plus haut), un montant qui lui sera remboursé à la fin de l’enchère. Les hackers se réservent le droit de conserver la mise de la personne qui a remporté l’enchère aux cas où elle ne paie pas, avant d’éviter les fausses offres. Si les enchères se font en dollars, la transaction finale se fera en Monero, une cryptomonnaie de plus en plus utilisée par les cybercriminels aux dépens du Bitcoin, plus surveillé par les autorités.

Le rançonneur Sodinokibi se diversifie dans la revente de données

Avec cet eBay des données volées, les hackers derrière le rançongiciel Sodinokibi (aussi connu sous le nom REvil) ont passé une nouvelle étape dans le suivi de leurs piratages.

Une fois qu’il est entré sur le système informatique de sa victime, le malware de Sodinokibi chiffre toutes les données qu’il trouve, les rendant illisibles. Non seulement la victime n’a plus accès à ses informations internes (comme ses contacts clients ou ses contrats de travail), mais en plus la plupart de ses outils informatiques ne fonctionnent plus correctement. Les hackers exigent alors le paiement d’une rançon contre la clé de déchiffrement nécessaire pour rétablir le système. Il y a à peine deux ans, l’histoire s’arrêtait le plus souvent là. Soit la victime payait la rançon, soit elle rétablissait son système à partir de ses sauvegardes. Mais la seconde option, malgré qu’elle soit longue et onéreuse, a rapidement fait consensus, pour de multiples raisons.

Pour continuer à faire payer leurs cibles, les cybercriminels ont dû innover. Sodinokibi a suivi la mouvance du secteur et a lancé plus tôt dans l’année un blog –baptisé ‘Happy Blog’ — sur lequel il publie progressivement les données de ses victimes. À la manière d’un preneur d’otage qui couperait une mèche de cheveux pour faire pression sur les payeurs, eux publient des échantillons de données.

260 000 dollars demandés par rançon en moyenne

Ils font d’une pierre deux coups : ils prouvent le sérieux de leur démarche et menacent leurs victimes d’un préjudice encore plus important. Une fuite de données pourrait en effet faire perdre des clients à la victime et endommager grandement sa situation financière à moyen terme. Et pour cause : une fois les données publiées gratuitement, de nombreux pirates malveillants vont s’en servir pour alimenter leurs propres cyberattaques.

Avec leur plateforme d’enchères intégrée au Happy Blog, les hackers de REvil poussent donc leur concept encore plus loin. Ils diversifient en quelques sortes leurs revenus : en plus d’être rançonneurs, ils sont également voleurs et revendeurs de données. ZDNet avait estimé à plus de 260 000 dollars la demande de rançon moyenne de Sodikonibi, une somme conséquente, mais payable par les grandes organisations visées par les hackers. Le prix de base des premiers jeux de données mises à la vente n’est que 2 à 3 fois inférieur au montant moyen des rançons, ce qui rend la pratique plutôt intéressante, puisque toutes les rançons ne sont pas payées.

Les données de Madonna, bientôt aux enchères

Sodikonibi avait déjà fait de premiers tests fin mai : ils prétendaient avoir vendu une base de données compromettantes sur Donald Trump pour plus d’un million de dollars. Et ils comptent bien surfer sur le même piratage pour tester leur nouveau modèle économique, d’après l’avertissement qui ponctue leur billet de blog : « Nous nous rappelons de Madonna et des autres. Bientôt. »,

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux