Si les gangs de ransomwares travaillent pour améliorer la technique et le ciblage de leurs attaques, ils s’assurent aussi par tous les moyens du paiement de la rançon. Ragnar Locker vient d’en faire la démonstration en s’offrant des publicités sur Facebook pour réclamer son dû à sa victime sous peine de publication des données volées.

En l’occurrence, l’affaire porte sur la cyberattaque visant Campari, firme italienne d’alcools et de spiritueux comprenant des marques comme SKYY, Grand Marnier ou Wild Turkey. Le groupe a reconnu un incident de sécurité qui s’est déroulé le 3 novembre dernier. Ragnar Locker aurait réussi à dérober 2 To de données et réclame une rançon de 15 millions de dollars en bitcoin.

Facebook a supprimé le compte piraté

Les encarts publicitaires sur Facebook ont été repérés pour la première fois par le chercheur Brian Krebs le 9 novembre dernier. Ragnar Locker a acheté les publicités en se servant d’un compte Facebook piraté. Ce dernier est monté jusqu’à 7000 utilisateurs avant que le réseau social s’en aperçoive et le supprime.

La publicité sur Facebook est une première, mais elle s’ajoute à la panoplie des cybercriminels pour obtenir le paiement de la rançon (communiqués de presse, sites sur le dark web, contacts avec les journalistes). L’objectif est d’atteindre la réputation de la victime, en l’occurrence Campari, en livrant au public le fait que les données ont été volées et que la firme a été compromise. Les gangs perfectionnent de plus en plus la communication autour de leurs exploits. Ragnar Locker, comme d’autres, a rapidement créé un « mur de la honte », recensant les victimes et la taille des données subtilisées. La guerre contre les ransomwares passera par une bataille de communication et les entreprises doivent s’y préparer notamment dans les exercices de crise.