Traditionnellement, un ransomware chiffre des fichiers d’une entreprise et promet leur déblocage contre une rançon. Depuis quelques mois, un autre chantage s’organise à la suite du piratage début mai du cabinet d’avocats Grubman Shire Meiselas & Sacks (GSMLaw), qui représente plusieurs célébrités, comme Lady Gaga, Madonna, Mariah Carey, Nicki Minaj, Bruce Springsteen, U2 ou encore le duo Outkast. Derrière cette attaque se trouve le groupe à l’origine des ransomwares REvIL/Sodinokibi et avant de chiffrer les données, il les a dérobées pour procéder à un chantage à la publication.

Flairant la martingale, le gang a réclamé une rançon de 21 millions de dollars, portée à 42 millions de dollars après que GSMLaw ait proposé 365 000 dollars. Pour montrer sa capacité de nuisance, le groupe de cybercriminels a menacé de publier des fichiers sur Donald Trump. Petit hic, le locataire de la Maison Blanche n’a jamais fait partie des clients du cabinet d’avocats. Il n’en demeure pas moins que ces soi-disant révélations (160 emails ont été publiés en guise d’amuse-bouche et se sont révélés inoffensifs) ont fait l’objet d’enchères et que le groupe REvIL a annoncé avoir trouvé des acheteurs.

Le ransomware as a business s’étend

Le groupe ne compte pas s’arrêter en si bon chemin et a décidé de mener des enchères chaque semaine sur les célébrités. La prochaine cible est Madonna avec une mise à prix d’un million de dollars. Il promet au gagnant de l’enchère d’effacer les fichiers et de lui garantir l’exclusivité des données. Au début de l’affaire, le gang avait publié un fichier de 2,4 Go lié à Lady Gaga contenant des contrats marketing, de merchandising, des tournées, ...

En extorquant doublement le cabinet d’avocats, pour déchiffrer et ne pas publier les données, les personnes derrière REvIL/Sodinokibi consacrent la stratégie du ransomware as a business. De plus en plus de groupes pratiquent ce double jeu d'exfiltration des données avant de les chiffrer, pour infliger une double peine à la victime. Mais la mise aux enchères des données dérobées constitue un autre risque pour les sociétés visées et un moyen de rentabiliser encore un peu plus son attaque pour les cybercriminels.