Sodinokibi : piéger des blogs en temps de confinement

LE RAPPORT D’INVESTIGATION ET L’ANALYSE D’UNE MÉTHODE D’INFILTRATION DES OPÉRATEURS DU RANÇONGICIEL SODINOKIBI.

Les pertes de production liées aux rançongiciels coûtent aux organisations plus de 64 000 dollars US en moyenne par attaque. (Source : Coveware). Les rançongiciels coûtent aux entreprises plus de 75 milliards de dollars US par an. (Source : Datto). Nous avons tous lu, relu et parfois même été victimes de cyberattaques se transformant en cyber-extorsions. Ces statistiques fleurissent depuis 2014 sur le web et chaque année est une année record. Nous avons banalisé ces chiffres, ils font partie de notre quotidien. Les entreprises pensent comprendre de mieux en mieux comment ils impactent leurs modèles d’affaires, mais ce dossier vous montrera l’envers du décor et l’ampleur du cycle de vie de la victimisation.

Nous oublions trop souvent que cette menace évolue pour continuer à nous prendre par surprise. Cette menace a une intelligence propre et multiple, un modèle d’affaires bien « huilé », tel un engin dédié à la compétition, forgé pour la performance et l’efficacité. Nous occultons trop souvent la compréhension de ces organisations criminelles pour simplement les désigner par un « grand tout » : « ils », « les hackers », « les pirates » … Mais ce sont des industries à part entière en quête d’innovation, de parts de marché, d’efficacité et en perpétuel amélioration de processus.

Sodinokibi

L’entreprise The 8Brains, entreprise Québécois spécialiste de la cybersécurité, propose un pôle cyber intelligence spécialisé dans l’analyse de ces épiphénomènes pour donner aux organisations la compréhension et les tendances de cybersécurité à observer, afin de les aider à aiguiser leur stratégie de cyberdéfense, à améliorer leur posture de cyber-résilience et à éduquer leurs équipes. L’objectif a pour but de mieux appréhender et mieux répondre à ces menaces pour être préparés à une éventuelle cybercrise. 

Dans ce dossier, nous revenons sur la menace appelée « Sodinokibi » pour vous faire découvrir l’une de ses faces cachées, directement en lien avec le modèle d’affaires que les cybercriminels ont envisagé pour améliorer leur rentabilité et leur impact sur leurs victimes.

Revenons un peu sur nos pas. Novembre 2013, un cryptolocker touche de multiples ordinateurs de la police de la ville de Swansea dans le Massachusetts. A l’époque, le code malveillant ou rançongiciel réclame 750 dollars US pour déchiffrer les contenus pris en otage. C’était l’un des premiers cas de rançongiciel rendus publics. En sept ans, les logiciels de rançonnage sont devenus les nouveaux outils indispensables dans l’arsenal des pirates informatiques. Parmi eux, « Sodinokibi ».

Depuis avril 2014, ce « kit pirate » provoque de nombreux dégâts dans les entreprises impactées. Avec plusieurs centaines de victimes, les cybercriminels, que nous appellerons « opérateurs » derrière Sodinokibi ont mis en place une structure de chantage numérique qui offre la possibilité de collecter, selon les autorités américaines, plusieurs millions de dollars par mois.

Analyse

Le Pôle Cyber Intelligence de The 8Brains vous propose son analyse liée à une opération de cyber attaque d’envergure. Une cybre attaque qui vise particuliers et entreprises de petites et moyennes tailles (PME/PMI).

L’analyse de The 8 Brains reprend les informations diffusées par Sodinokibi sur les différents sites que cette organisation cybercriminelle administre (News 1 et News 2), ainsi que sur des forums pirates, lors de cyber attaques et via des conversations de cybercriminels auxquelles The 8Brains a pu avoir accès.

Table des matières

  1. Ce qu’il faut savoir avant de commencer…
  2. ANALYSE
  3. Le cycle d’affaire de Sodinokibi
    1.1. Qui est Sodinokibi
    1.2. Location
  4. Le fonctionnement global de Sodinoki
  5. Les victimes de Sodinokibi
  6. Les outils e-business qui composent Sodinokibi
    4.1. Analyse d’une tentatives de piéger particuliers et PME/PMI
    4.1.1. La recherche
    4.1.2. Infiltrer des blogs
    4.1.3. La vente/l’achat et l’utilisation
    4.1.4. Prise d’otage : H – 5 minutes
    4.1.5. Jour 0
    4.1.6. H +1
    4.2. Le RaaS ou « tableau de bord infonuagique cybercriminel »
  7. L’organisation criminelle et sa logique
  8. Comment se protéger? Nos 15 recommandations
  9. RÉFÉRENCES & BIBLIOGRAPHIE

Télécharger notre rapport

Nom du fichier : COM-Art829-Sodinokibi 2020-04-20-bm.pdf

Hash : 25CAC35A55A7FA89EB030A6402A34FD5