Certains des principaux gangs de rançongiciels déploient une nouvelle tactique de pression pour pousser davantage d’organisations victimes à payer une demande d’extorsion : envoyer directement un e-mail aux clients et partenaires de la victime, les avertissant que leurs données seront divulguées sur le dark web à moins qu’ils ne parviennent à convaincre l’entreprise victime de payer.
Cette lettre provient du gang de rançongiciels Clop, mettant la pression sur une victime récente nommée sur le site Web sombre de Clop.
« Bonne journée! Si vous avez reçu cette lettre, vous êtes client, acheteur, partenaire ou employé de [victim]», lit-on dans la missive. « La société a été piratée, des données ont été volées et seront bientôt publiées car la société refuse de protéger les données de ses employés. »
« Nous vous informons que des informations vous concernant seront publiées sur le darknet [link to dark web victim shaming page] si l’entreprise ne nous contacte pas », conclut le message. « Appelez ou écrivez à ce magasin et demandez à protéger votre vie privée !!!! »
Le message ci-dessus a été envoyé à un client de Pétrole RaceTrac, une société d’Atlanta qui exploite plus de 650 dépanneurs d’essence au détail dans 12 États du sud-est. La personne qui a partagé cette capture d’écran ci-dessus n’est pas un distributeur ou un partenaire de RaceTrac, mais elle a déclaré qu’elle était membre des récompenses RaceTrac, de sorte que la société a définitivement son adresse e-mail et d’autres informations.
Plusieurs gigaoctets des fichiers de l’entreprise – y compris les dossiers fiscaux et financiers des employés – ont été publiés sur le site d’humiliation des victimes pour le Cloper gang de rançongiciels.
En réponse aux questions de BreachTrace, RaceTrac a déclaré qu’il avait récemment été touché par un incident de sécurité affectant l’un de ses fournisseurs de services tiers, Accellion Inc.
Depuis quelques mois, des attaquants exploitent un une vulnérabilité zero-day dans le logiciel Accellion File Transfer Appliance (FTA)une faille qui a été saisie par Clop pour s’introduire dans des dizaines d’autres grandes entreprises comme le géant pétrolier Shell et société de sécurité Qualys.
« En exploitant une vulnérabilité logicielle non détectée auparavant, des parties non autorisées ont pu accéder à un sous-ensemble de données RaceTrac stockées dans le service de transfert de fichiers Accellion, y compris les adresses e-mail et les prénoms de certains de nos utilisateurs RaceTrac Rewards Loyalty », a déclaré la société. a écrit. « Cet incident s’est limité aux services Accellion susmentionnés et n’a pas eu d’impact sur le réseau d’entreprise de RaceTrac. Les systèmes utilisés pour le traitement des transactions de crédit, de débit et de récompenses RaceTrac des invités n’ont pas été affectés. »
Le même e-mail de pression d’extorsion a été envoyé à des personnes associées au Université de Californiequi était l’un des plusieurs grandes universités américaines qui ont récemment été touchées par le rançongiciel Clop. La plupart de ces incidents de rançongiciels universitaires semblaient être liés à des attaques sur la même vulnérabilité Accellion, et la société a reconnu qu’environ un tiers de ses clients sur cet appareil ont été compromis en conséquence.
Clop est l’un des nombreux gangs de rançon qui exigeront deux rançons : une pour une clé numérique nécessaire pour déverrouiller les ordinateurs et les données du cryptage des fichiers, et une seconde pour éviter que des données volées ne soient publiées ou vendues en ligne. Cela signifie que même les victimes qui choisissent de ne pas payer pour récupérer leurs fichiers et leurs serveurs doivent encore décider de payer la deuxième rançon pour protéger la vie privée de leurs clients.
Comme je l’ai noté dans Why Paying to Delete Stolen Data is Bonkers, en laissant de côté l’idée que les victimes pourraient réellement s’attendre à ce que les attaquants détruisent réellement les données volées, de nouvelles recherches suggèrent qu’un bon nombre de victimes qui paient peuvent voir tout ou partie des données volées publiées de toute façon.
L’e-mail dans la capture d’écran ci-dessus diffère légèrement de ceux couverts la semaine dernière par Ordinateur qui bipe, qui a été le premier à repérer la nouvelle ride de notification aux victimes. Ces e-mails indiquent que le destinataire est contacté car il est client du magasin et que ses données personnelles, y compris les numéros de téléphone, les adresses e-mail et les informations de carte de crédit, seront bientôt publiées si le magasin ne paie pas de rançon, écrit Laurent Abrams.
« Peut-être avez-vous acheté quelque chose là-bas et laissé vos données personnelles. Tels que le téléphone, l’e-mail, l’adresse, les informations de carte de crédit et le numéro de sécurité sociale », déclare le gang Clop dans l’e-mail.
Fabien Wosardirecteur technique d’une société de sécurité informatique Emsisofta déclaré que les appels directs aux clients victimes sont une extension naturelle d’autres efforts publicitaires des gangs de rançongiciels, qui ont récemment inclus l’utilisation de comptes Facebook piratés pour publier des publicités humiliantes pour les victimes.
Wosar a déclaré que Clop n’est pas le seul gang de rançongiciels à envoyer des e-mails aux victimes.
« Clop aime le faire et je pense que REvil a également commencé », a déclaré Wosar.
Plus tôt ce mois-ci, Ordinateur qui bipe signalé que l’opération de rançongiciel REvil prévoyait de lancer des attaques par déni de service distribué (DDoS) paralysantes contre les victimes, ou de passer des appels VOIP aux clients des victimes pour exercer une pression supplémentaire.
« Malheureusement, qu’une rançon soit payée ou non, les consommateurs dont les données ont été volées sont toujours à risque car il n’y a aucun moyen de savoir si les gangs de rançongiciels suppriment les données comme ils le promettent », a écrit Abrams.