Le groupe de ransomware a ciblé les données sensibles des cabinets d’avocats au cours des six derniers mois
Les opérateurs du groupe REvil Ransomware ont réussi à faire des ravages en volant les données de deux cabinets d’avocats basés aux États-Unis. REvil a mis en place une vente aux enchères sur le dark web où les acheteurs peuvent enchérir pour accéder aux données volées. Selon les médias, plus de sept cas d’attaques par des logiciels de rançon contre des cabinets d’avocats ont eu lieu au cours des six derniers mois.
La plupart de ces attaques ont été attribuées au gang REvil – également connu sous le nom de Sodin et Sodinokibi – qui est une opération de type « ransomware-as-a-service » (RaaS). L’opération de ransomware viole le réseau d’entreprise en utilisant le spam, les services de bureau à distance et les programmes d’exploitation. Ensuite, il se propage discrètement et latéralement dans l’entreprise en volant des données non cryptées sur les serveurs exposés.
Une fois l’accès au contrôleur de domaine obtenu, les opérateurs déploient le logiciel de rançon pour crypter tous les ordinateurs du réseau. Les opérateurs demandent ensuite une rançon, généralement en Bitcoin ou dans une autre crypto-monnaie. Les opérateurs de REvil disposent également d’un site de fuite de données utilisé pour publier des informations sensibles volées si la rançon n’est pas payée. Ils ont également commencé à vendre aux enchères les données volées sur le site au plus offrant.
Le 6 juin, 50 Go de données de Fraser Wheeler & Courtney LLP et 1,2 To de données de la base de données de Vierra Magen Marcus LLP sont apparus sur le blog officiel de REvil sur le darknet. Les données mises aux enchères comprennent des informations sensibles telles que des informations sur les clients, la documentation interne de l’entreprise, les accords de brevet, les plans d’affaires et les projets de nouvelles technologies qui n’ont pas encore été brevetées.
Le cabinet Vierra Magen Marcus LLP est spécialisé dans le droit de la propriété intellectuelle. La société compte parmi ses clients plus de 650 particuliers et entreprises, tels que Toshiba, Seagate et Nissan. Le prix de départ pour la mise aux enchères des données de Fraser Wheeler & Courtney est de 30 000 dollars, à payer en bitcoin. Les opérateurs menacent de rendre public le montant de la rançon si celle-ci n’est pas payée en moins d’une semaine.
Brett Callow, analyste des menaces au laboratoire de logiciels malveillants Emsisoft a déclaré à Cointelegraph que la vente aux enchères a commencé après que le groupe n’ait pas réussi à obtenir une rançon de Grubman Shire Meiselas & Sacks, le cabinet d’avocats représentant Madonna. Il pense que la vente aux enchères n’est pas seulement un moyen de créer des revenus à partir des données volées, mais aussi un moyen de « faire monter les enchères pour les futures victimes ».
« La perspective que des données soient mises aux enchères et vendues à des concurrents ou à d’autres entreprises criminelles peut inquiéter les entreprises bien plus que le simple fait qu’elles soient publiées sur un obscur site Tor et leur fournir ainsi une incitation supplémentaire à payer la demande », a-t-il ajouté. Prévenant que les logiciels de rançon sont maintenant devenus une industrie de plusieurs milliards de dollars, Callow a déclaré que la seule façon de « renverser cette tendance est de couper le flux de trésorerie, et cela signifie que les entreprises doivent cesser de payer des rançons ».