Le troisième effet du ransomware, les enchères des données volées

Depuis plusieurs années je vous parle du double effet RGPD chez les pirates. Le double effet d’une cyberattaque de type ransomware. Voici venir le troisième effet, la mise en vente aux enchères des données volées.

Je vais vous l’avouer, je ne l’ai pas vu venir ce 3e effet RGPD mis en place par les pirates informations opérateurs de ransomware. Autant le double effet du Règlement Général de la Protection des Données était annoncé depuis plusieurs années, autant ce troisième effet est plus « inquiétant » encore.

Le premier effet, c’est la prise d’otage des machines et des fichiers par le chiffrement de ces derniers. Vous payez le déchiffrement des documents pris en otage. Un « classique » du chantage numérique. Des groupes comme que Rex Mundi en étaient devenus maîtres, en 2015.

Le second effet, la menace des pirates de la divulgation de vos informations afin « d’alerter » les autorités.

Le troisième effet, la vente des données volées dans des ventes aux enchères.

Si depuis des années je croise des boutiques du black market spécialisés dans ce type de business des achats et ventes d’informations sensibles et internes à une entreprise, la mise en avant de ce marché est nouveau.

Vente aux enchères

Les premiers à avoir annoncé la chose, les opérateurs pirates de Sodinokibi. D’abord de manière « artisanale » en menaçant un cabinet d’avocats de New-York de divulguer les informations de leurs illustres clients : Lady Gaga, Madonna, Trump … Dans ce dernier cas, les informations et la demande de rançon ont disparu comme par magie.

Pour Lady Gaga, selon les pirates, quelqu’un a payé (la maison de disque ? l’artiste ? Un fan ?). Pour Madonna, Sodinokibi réclame comme prix de départ, 1 million de dollars. Ils viennent d’annoncer ce 3 juin de prochaines diffusions concernant des stars US.

Quinze jours plus tard, voici venir la place de marché des pirates. Ils ont créé une section dans leur business qu’ils ont baptisé « Auction ». Bilan, nous voici face à une salle de ventes aux enchères des données volées à des entreprises qui n’ont pas payé les deux premiers chantages.

Caution de 5 000 $

Le système pirate est très professionnel. On découvre qu’ils ne sont pas à leur coup d’essai. J’avouerai même, sans en dire trop, que leur système a déjà été repéré dans deux black market, comme la gestion et la création d’un compte participant.

Le site pirate génère automatiquement un code d’accès unique pour participer aux enchères ! – Source : zataz.com

Pour participer aux enchères, il suffit de s’inscrire. Après le passage d’un captcha anti bot, est généré automatiquement et aléatoirement, un identifiant de connexion de type 92829, un mot de passe et une adresse de transaction en cryptomonnaie Monero (XMR). Une monnaie qui est devenue, depuis quelques semaines, la référence pour les voyous 2.0 abandonnant le Bitcoin. Vous remarquez dans ma capture écran, ci-dessous, que le système pirate pourra changer de monnaie.

Une adresse de paiement en Monero est générée par acheteur. Une caution de 5 000$ est réclamée par les pirates. – Source: zataz.com

Comme pour une vente légitime notariale, une caution est réclamée. Elle est de 5 000 dollars US. « Avant de pouvoir enchérir, vous devez envoyer la caution, explique les pirates. Si quelqu’un d’autre gagne ce lot, votre dépôt vous sera remboursé. Ne vous inquiétez pas. Vous verrez votre dépôt et toutes vos transactions. Si vous gagnez un lot, mais que vous ne payez pas votre mise, vous perdrez votre dépôt.« 

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ » Les données de la commune Française de Crêts en Belledone prises en otage

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.