Les opérateurs de ransomwares affirment vendre aux enchères les données confidentielles des victimes dans le but de les pousser à payer des frais élevés pour leur retour en toute sécurité.

Le Happy Blog, un site Web sombre entretenu par les criminels derrière le ransomware connu sous les noms REvil, Sodin et Sodinokibi, a commencé mardi le processus d’appel d’offres en ligne. Auparavant, le groupe avait publié des détails limités sur les données des victimes sélectionnées et menacé de diffuser des informations confidentielles supplémentaires si les propriétaires ne payaient pas. Outre le vol des données, le groupe les chiffre également afin qu’elles ne soient plus accessibles aux propriétaires.

Combiner la menace de publier les données tout en les verrouillant simultanément de leur propriétaire légitime est conçu pour augmenter les chances de paiement. La nouvelle tactique renforce la pression, peut-être parce que les pratiques antérieures n’ont pas donné les résultats escomptés. Les rançons demandées sont souvent élevées, parfois en millions de dollars. Les entreprises concernées ont également répugné à encourager de nouvelles attaques en récompensant les personnes derrière elles. À cette réticence s’ajoutent de nouvelles pressions financières causées par la pandémie de coronavirus.

Au moment de la publication, le Happy Blog annonçait des enchères pour les données de deux sociétés. L’un est décrit comme un distributeur d’aliments et de récoltes. La vente aux enchères promet plus de 10 000 fichiers contenant des analyses confidentielles des flux de trésorerie, des données sur les distributeurs, du contenu d’assurance commerciale, des informations sur les fournisseurs et des images numérisées des permis de conduire appartenant à des personnes appartenant au réseau de distribution de l’entreprise.

L’autre vente aux enchères allègue avoir remis « des documents comptables et des comptes, ainsi que de nombreuses informations importantes pouvant être utiles aux concurrents ou aux parties intéressées ». Les commissaires-priseurs affirment qu’il provenait d’une entreprise canadienne de production agricole (nous ne nommons aucune victime présumée).

Une page d’enchères d’accompagnement pour cette dernière société montre ce qui est censé être un petit échantillon des données, y compris les e-mails des employés, des mémos confidentiels documentant les conférences téléphoniques, une déclaration de patrimoine personnelle d’un employé et d’autres documents. La vente aux enchères prétend couvrir plus de 22 000 fichiers aux formats PDF, DOCX et XLSX. L’offre minimale est de 50 000 $ et un prix «blitz» de 100 000 $. Les frais dans les deux enchères sont payables par la monnaie numérique Monero.

Les enchères sont une nouvelle tactique que le gang REvil a récemment laissé entendre qu’elle pourrait commencer. L’idée est venue après que le groupe a publié des preuves qu’il avait piraté un cabinet d’avocats de premier plan et volé des informations confidentielles pour une variété de ses clients célèbres. L’un de ces clients serait Madonna. L’une des pages des enchères de mardi semble faire allusion à cette allusion en disant: «Et nous nous souvenons de la Madone et d’autres personnes. Bientôt. »

Le fléau des ransomwares a prospéré car il fournit aux pirates un crime facilement monétisé qui est payable directement par les victimes (en supposant qu’elles paient). L’anonymat des monnaies numériques telles que Monero joue également un rôle clé dans le succès et la persistance du ransomware. La nouvelle tactique à haute pression suggère que, même si le crime reste en place, il peut encore être difficile d’exiger des paiements.