Dark deals Sodinokibi : nouveau site de diffusion de données volées

Posted On 11 Mar 2020

Les opérateurs cachés derrière le ransomware Sodinokibi ouvrent leur propre blog de diffusion de données volées. Une idée qui prend de l’ampleur chez les rançonneurs numériques.

Dark deals – Après Maze, Dopple, XXX … voici venir le blog des opérateurs du ransomware Sodinikobi. Ils viennent de mettre en ligne, via les possibilités d’anonymisation du darknet, les identités de sept victimes. Des entreprises rançonnées, qui n’ont pas payé les preneurs d’otages numériques. Dans cet espace qu’ils ont baptisé « Happy Blog« , des noms, des captures écrans et des fichiers volés dans les ordinateurs infiltrés avant le lancement du chiffrement des fichiers des machines.

Dans la liste des entreprises, des PME de New-York, mais aussi des sociétés spécialisées dans le commerce en ligne, dans la constitution de dossiers de crédits ou une importante chaîne de garagistes US. « Nous avons téléchargé vos données. Documents financiers, bases de données, etc. explique les pirates sur leur blog. Nous vous recommandons vivement de nous contacter, sinon ces données seront publiées publiquement.«

Les pirates ont diffusé leur blog accessible uniquement via tor.

Des paroles qui passent malheureusement très rapidement à l’acte. « Il ne s’agit que d’une petite partie de vos données […] Chaque jour, de plus en plus d’informations seront téléchargées, affirment-ils en menaçant un commerçant. SSN + DOB + et autres informations sur les personnes – seront vendues dans DarkWeb à des personnes qui les utiliseront pour leurs « dark deals » probables.«

Dark deals : les premières diffusions ont débuté

Les pirates ont déjà diffusé plusieurs gigas d’informations sur le site de partage de fichiers Mega. Ce dernier a d’ailleurs reçu plusieurs plaintes des « ayants droits ». Les premiers liens ont été effacés et les comptes détruits.

Leur blog, nouvelle méthode pour faire plier leurs cibles !

J’ai pu contacter les opérateurs pirates. Ils ont précisé posséder plusieurs entreprises Européennes (France, Belgique) et Canadienne dans leur sac malveillant. Ils n’ont pas cité les sociétés mais annoncent qu’ils diffuseront toutes les infos sur leur blog.

Comme l’indiquait l’agence gouvernemental française en charge de la cybersécurité hexagonales : » Il est désormais important de prendre en compte ce nouveau risque sur la confidentialité des données qui peut notamment amener des implications importantes liées à la réglementation RGPD. » et les pirates ont bien compris les enjeux de ce type de menace. Je vous expliquais, dans le cas de Maze, comment s’est dernier annonçait vouloir jouer avec la bourse pour faire plier les actions des entreprises menacées.

Les premières diffusions de fichiers volés ont débuté sur Mega.

Sodonikibi est aussi connu sous le nom de Revil. Il fonctionne comme Maze, Dopple, … sous la forme d’une location. Un « Ransomware-As-A-Service« .

Ils m’ont expliqué avoir, en ce moment, trois « utilisateurs« . Bleepingcomputer indique de son côté que les pirates étaient à la recherche de nouvelle tête via un forum Russe !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.