REvil Cyber Crime Group strejker berømthedsadvokatfirma - går af med en mængde privat information
REvil-cyberkriminalitetsgruppen gennemførte et så hårdt angreb, at den amerikanske regering brandede dem som terrorister. De berygtede hackere målrettede et New York-baseret advokatfirma - Grubman Shire Meiselas & Sacks. Det i sig selv er ikke noget, som er værdifuldt for terrormærket. Det, der dog gør dette cyberangreb skiller sig ud, er det målrettede firmaets klientliste og den uanstændige løsningsanmodning.
REvil-gruppen inficerede NY-firmaet med ransomware, krypterede dets systemer og stjal en svimlende mængde private data fra en imponerende klientliste. Angriberen slettede eller krypterede alle deres sikkerhedskopier. Således efterlader dem ingen mulighed, men overholdelse. Den eneste synlige måde for advokatfirmaet at genvinde kontrol med dets data er at betale løsepenge, få en unik dekrypteringsnøgle og låse de låste filer op.
Table of Contents
En imponerende klientliste.
Advokatfirmaet i New York styrkede en imponerende liste over klienter. Blandt navnene finder du Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. Og det skraber blot overfladen.
REvil sendte et skærmbillede af filer med navnene på virksomhedens klienter. Kilde: Dailymail.co.uk
Cyberangrebene hævdede også, at Donald Trump, den amerikanske præsident, var blandt firmaets klienter, og at de nu har 'snavs' på ham. Imidlertid er denne påstand blevet modbevist.
Den mindre detalje forhindrede ikke cyberkriminelle i at fortsætte deres charade og truede med at udsætte følsomme oplysninger om Trump.
Angriberen truede med at frigive alle de data, de stjal, medmindre de fik betalt et uanstændigt beløb i løsepenge. Med de høje indsatser blev naturligvis FBI involveret. Præsidiet anlagde sagen og meddelte, at " forhandling med eller betaling af løsepenge til terrorister er en overtrædelse af føderal strafferet."
REvil at få FBI’s opmærksomhed.
Så snart gruppens repræsentanter fandt ud af deres nye terrorist branding, blev de ret forstyrrede. At blive smækket med ordet 'terrorist' er ikke, hvad de forventede, og det fik et hurtigt svar fra cyberangrebene. De vendte sig mod det mørke web og udsendte en lang løb om sagen. En del af deres erklæring inkluderede, " Hr. Advokat siger, at Donald aldrig har været deres klient. Og han siger, at vi bluffer. Nå, ja. Den første del, med de mest ufarlige oplysninger, vil vi sende her." Stillingen blev afsluttet med links til 169 e-mails, som angiveligt var en lille del af det 'beskidte vasketøj', de hævdede at have på den amerikanske præsident.
Desuden fortsatte hackerne med at opdatere interesserede parter via deres mørke webindlæg. I et nyligt sådant indlæg hævdede de, at "interesserede mennesker kontaktede os og blev enige om at købe alle data om den amerikanske præsident, som vi har samlet over hele vores aktivitetsperiode." De fortsatte med at fortælle, hvor "meget tilfreds med aftalen " de var, men delte ikke detaljer. Det fik mange til at tro, at det hele var en stor ruse, som eksperter derefter bekræftede som kendsgerning.
Hvad der gav yderligere tillid til hoax-teorien var det faktum, at de 169 e-mails, som hackerne delte som 'bevis' på snavs, de har på Trump, i det mindste var fundet manglende. Det ser ud til, at e-mails ikke indeholdt noget, der kan klassificeres som 'snavs'. Derudover lignede det, at nogen gennemsøgte arkiver ved at søge ordet 'trumf' og derefter delte alt, hvad der indeholdt det specifikke ord. Det inkluderede 'trumf' ved at blive brugt som et verb og meddelelser, der henviser til Trump i tredjeperson. Ifølge eksperter havde datadumpen næsten intet, der overhovedet kunne vedrøre præsidenten. Den foregivelse, som de gjorde, blev blot brugt som gearing til løsepenge for at få betalt.
En anmodning om løsepenge, der når frem til stjernerne.
REvil hackerne satte ikke nogen grænse for deres grådighed. De løsepenge, de anmodede om, andrager 42 millioner dollars for at få betalt i Bitcoin, eller 34,6 millioner pund, og det er ikke noget lille beløb.
Oprindeligt gav cyberekstorister advokatfirmaet en uge til at betale dem halvdelen af det - 21 millioner dollars i løsepenge, men firmaet modsatte sig tilbuddet. De blev enige om at overføre kun en brøkdel af det anmodede beløb - kun $ 365.000. Da deres krav ikke blev opfyldt, fordoblede skurkerne det. Hvis det skulle blive betalt, ville det blive den største løsepenge, der nogensinde er givet til cyberangreb.
REvil-angribere har en tendens til at udsende deres udsagn på det mørke web. De bruger fora der for at pege alle på deres trusler, tanker og handlinger. Skurkerne stjal kontrakter, ikke-afslørende aftaler (NDA'er), e-mail-adresser, telefonnumre, personlig korrespondance, musikrettigheder osv. Fra advokatfirmaet New York. Det er på et sådant forum, at cyberkriminelle tilbudt bevis for deres hack ved at lække private filer på det.
For angiveligt at presse advokatfirmaet til at betale op, frigik angriberne nogle af de stjålne data på det mørke web. De delte billeder af "en kontrakt for Madonnas 2019-20 'Madame X' turné med Live Nation," på et mørkt webforum . De udsendte også 2,4 GB data, der indeholdt juridiske dokumenter om Lady Gaga - koncertkontrakter, tv-optrædener og merchandising.
En del af Madonnas nylige Madame X-turnékontrakt, REvil stjal via hacket. Kilde: dailymail.co.uk
Efter disse lækager kom truslen om, at præsidenten er næste på listen.
"Den næste person, vi vil offentliggøre, er Donald Trump. Der er et valgløb, der finder sted, og vi fandt masser af beskidt vaskeri til tiden. Mr. Trump, hvis du vil forblive præsident, stikker en skarp pind på fyrene, ellers glemmer du måske denne ambition for evigt. Og til dig vælgere, kan vi fortælle dig, at du efter en sådan offentliggørelse bestemt ikke ønsker at se ham som præsident. Nå, lad os udelade detaljerne. Fristen er en uge. "
Som allerede nævnt fandt eksperter påstanden om, at Donald Trump var en klient hos firmaet, var falsk. Det er stadig vigtigt at bemærke, at selvom cyberangriberne muligvis ikke har faktisk snavs på Donald Trump, har de en masse følsomme, private oplysninger om en række berømtheder.
Eksperter antyder, at den eneste måde for kriminelle at skabe fortjeneste er at auktionere det, de formåede at stjæle. Og de er allerede begyndt at gøre det. De meddelte, at de den 25. maj ville auktionere dataene vedrørende Madonna - en bekræftet klient fra det hacket advokatfirma. Startprisen ville være en million dollars.
Der er intet at fortælle, hvor mange penge cybercrooks kan udskifte de data, de stjal. Efter deres hacking hævdede eksperter, at REvil kom til spil med 756 GB data.
Lidt mere om REvil.
Den berygtede hackergruppe REvil stammer angiveligt fra Østeuropa. Hvis navnet ringer på en klokke, skyldes det, at der er berygtede ransomware med samme navn, som har plaget webbrugere i et stykke tid. REvil, også kendt som Sodinokibi, er en formidabel trussel mod ransomware, opdaget den 17. april 2019.
Infektionen distribueres normalt via bagdørne softwareinstallatører, scanning og udnyttelse af teknikker, RDP-servere og udnyttelsessæt.
Så snart ransomware glider ind i dit system, aktiveres dens programmering. Malware krypterer alt.
For at forhindre potentielle ressourcekonflikter, der vil komme i vejen for ransomware til at udslette eller kryptere filer, afslutter REvil sortlistede processer. Det sletter også skyggekopier og sikrer, at dets målrettede system ikke kan gendanne det, der blev låst og slettet ved at henvende sig til dets sikkerhedskopi. For at fjerne det hele deaktiverer det gendannelsestilstand også.
Når krypteringen er afsluttet, efterlader det dig en løsepenge. Du kan finde det på dit skrivebord og i hver mappe, der indeholder krypterede filer. Det har en tendens til at være en ' txt ' -fil kaldet ' HVORDAN TIL DECRYPT.txt .' Nedenfor kan du se et eksempel på en REvil løsepenge-note.
En REvil løsepenge note. Kilde: Secureworks
Du behøver ikke se længere end på dit skrivebord for at indse, at du har problemer. Ikke kun fordi REvil efterlader dig løsepenge-note der, men også fordi den ændrer dit desktop tapet. For at give dig et indblik i din prøvelse giver det dig et nyt billede. Det er ikke noget fancy, men tværtimod. Du kan se et eksempel nedenfor.
Eksempel på en skrivebordsbaggrund efter kryptering. Kilde: Secureworks
Løsningsmeddelelsen indeholder instruktioner om, hvad cyberangrebene forventer, at du gør. De vil have dig til at gå til en unik URL, hvis du skal dekryptere dine data. Hvis du åbner den, fører denne URL dig til et angrebskontrolleret websted, der viser dig en løsepenge-betalingsnøgle og udvidelsesformular. Ekstortisterne forventer, at du angiver nøglen og udvidelsesnavnet, som du kan finde i din løsepenge.
Løsningsbetalingsnøgle og udvidelsesformular. Kilde: Secureworks
Når du har gjort det (indtast dine unikke oplysninger), fortæller de dig det nøjagtige løsepenge, de ønsker, at du skal betale. Det er næsten altid udelukkende i Bitcoin. Nedenfor kan du finde et eksempel på en betalingsanmodning og instruktioner, der skal følges.
Instruktioner og betalingsoplysninger om løsepenge. Kilde: Secureworks
Data kidnapperne lover, at hvis du gør alt, hvad de beder om dig, vil du lykkes at genvinde kontrol over dine data. Angiveligt, efter betaling sender de dig en dekrypteringsnøgle, som låser op alt, hvad de havde låst. I et forsøg på at tjene din tillid tilbyder de at dekryptere tre af dine filer gratis og giver dig et valg mellem ' png ', ' jpg ' og ' gif ' filer.
Prøve dekryptering tilbud. Kilde: Secureworks
Vær opmærksom på eksperters råd og falder IKKE for disse løgne. Husk, at du har at gøre med cyberkriminelle. Mennesker, der infiltrerede dit system, ødelagte det derefter. Du kan ikke stole på et ord, de siger. Undgå at falde ind i løgn, de drejer rundt, og følg deres instruktioner. Betal ikke løsepenge! Spild ikke din energi og penge på at håndtere disse mennesker. Det er ikke værd at din tid.
