sodinokibi

Dark deals Sodinokibi : nouveau site de diffusion de données volées

Les opérateurs cachés derrière le ransomware Sodinokibi ouvrent leur propre blog de diffusion de données volées. Une idée qui prend de l’ampleur chez les rançonneurs numériques.

Dark deals – Après Maze, Dopple, XXX … voici venir le blog des opérateurs du ransomware Sodinikobi. Ils viennent de mettre en ligne, via les possibilités d’anonymisation du darknet, les identités de sept victimes. Des entreprises rançonnées, qui n’ont pas payé les preneurs d’otages numériques. Dans cet espace qu’ils ont baptisé « Happy Blog« , des noms, des captures écrans et des fichiers volés dans les ordinateurs infiltrés avant le lancement du chiffrement des fichiers des machines.

Dans la liste des entreprises, des PME de New-York, mais aussi des sociétés spécialisées dans le commerce en ligne, dans la constitution de dossiers de crédits ou une importante chaîne de garagistes US. « Nous avons téléchargé vos données. Documents financiers, bases de données, etc. explique les pirates sur leur blog. Nous vous recommandons vivement de nous contacter, sinon ces données seront publiées publiquement.« 

Les pirates ont diffusé leur blog accessible uniquement via tor.

Des paroles qui passent malheureusement très rapidement à l’acte. « Il ne s’agit que d’une petite partie de vos données […] Chaque jour, de plus en plus d’informations seront téléchargées, affirment-ils en menaçant un commerçant. SSN + DOB + et autres informations sur les personnes – seront vendues dans DarkWeb à des personnes qui les utiliseront pour leurs « dark deals » probables.« 

Dark deals : les premières diffusions ont débuté

Les pirates ont déjà diffusé plusieurs gigas d’informations sur le site de partage de fichiers Mega. Ce dernier a d’ailleurs reçu plusieurs plaintes des « ayants droits ». Les premiers liens ont été effacés et les comptes détruits.

Leur blog, nouvelle méthode pour faire plier leurs cibles !

J’ai pu contacter les opérateurs pirates. Ils ont précisé posséder plusieurs entreprises Européennes (France, Belgique) et Canadienne dans leur sac malveillant. Ils n’ont pas cité les sociétés mais annoncent qu’ils diffuseront toutes les infos sur leur blog.

Comme l’indiquait l’agence gouvernemental française en charge de la cybersécurité hexagonales :  » Il est désormais important de prendre en compte ce nouveau risque sur la confidentialité des données qui peut notamment amener des implications importantes liées à la réglementation RGPD. » et les pirates ont bien compris les enjeux de ce type de menace. Je vous expliquais, dans le cas de Maze, comment s’est dernier annonçait vouloir jouer avec la bourse pour faire plier les actions des entreprises menacées.

Les premières diffusions de fichiers volés ont débuté sur Mega.

Sodonikibi est aussi connu sous le nom de Revil. Il fonctionne comme Maze, Dopple, … sous la forme d’une location. Un « Ransomware-As-A-Service« .

Ils m’ont expliqué avoir, en ce moment, trois « utilisateurs« . Bleepingcomputer indique de son côté que les pirates étaient à la recherche de nouvelle tête via un forum Russe !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr
  1. Pingback: ZATAZ » Le fabricant du whisky jack Daniel’s boit la tasse

  2. Pingback: ZATAZ » Ransomware : trois groupes de pirates lancent des enchères aux données volées

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.