REvil Cyber Crime Group streicht prominente Anwaltskanzlei - macht sich mit einer Menge privater Informationen auf den Weg

Die Cyberkriminalitätsgruppe REvil führte einen derart dreisten Angriff durch, dass die amerikanische Regierung sie als Terroristen brandmarkte. Die berüchtigten Hacker richteten sich gegen eine in New York ansässige Anwaltskanzlei - Grubman Shire Meiselas & Sacks. Das an sich ist der terroristischen Marke nichts wert. Was diesen Cyberangriff jedoch auszeichnet, ist die Kundenliste des Zielunternehmens und die obszöne Lösegeldanforderung.

Die REvil-Gruppe infizierte die Firma in New York mit Ransomware, verschlüsselte ihre Systeme und stahl einer erstaunlichen Kundenliste eine erstaunliche Menge privater Daten. Die Angreifer haben alle ihre Backups gelöscht oder verschlüsselt. Sie haben also keine andere Wahl, als Compliance. Die einzige offensichtliche Möglichkeit für die Anwaltskanzlei, die Kontrolle über ihre Daten zurückzugewinnen, besteht darin, das Lösegeld zu zahlen, einen eindeutigen Entschlüsselungsschlüssel zu erhalten und die gesperrten Dateien zu entsperren.

Eine beeindruckende Kundenliste.

Die New Yorker Anwaltskanzlei hat eine beeindruckende Anzahl von Mandanten aufgebaut. Unter den Namen finden Sie Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo und Sofia Vergara. Und das kratzt nur an der Oberfläche.

Abb.1
REvil veröffentlichte einen Screenshot von Dateien mit den Namen der Kunden des Unternehmens. Quelle: Dailymail.co.uk

Die Cyber-Angreifer behaupteten auch, dass Donald Trump, der US-Präsident, zu den Kunden des Unternehmens gehörte und dass sie jetzt "Dreck" auf ihn haben. Diese Behauptung wurde jedoch widerlegt.

Dieses kleine Detail hinderte die Cyberkriminellen nicht daran, ihre Scharade fortzusetzen und damit zu drohen, sensible Informationen über Trump preiszugeben.

Die Angreifer drohten, alle von ihnen gestohlenen Daten freizugeben, es sei denn, sie erhielten einen obszönen Geldbetrag als Lösegeld. Mit den so hohen Einsätzen hat sich das FBI natürlich engagiert. Das Büro bekam den Fall und kündigte an, dass " Verhandlungen mit oder Lösegeldzahlungen an Terroristen eine Verletzung des Bundesstrafrechts darstellen".

REvil Die Aufmerksamkeit des FBI auf sich ziehen.

Sobald die Vertreter der Gruppe von ihrem neuen Branding für Terroristen erfuhren, waren sie ziemlich verärgert. Mit dem Wort "Terrorist" geschlagen zu werden, war nicht das, was sie erwartet hatten, und es löste eine schnelle Reaktion der Cyber-Angreifer aus. Sie wandten sich dem dunklen Netz zu und schimpften lange über die Angelegenheit. Ein Teil ihrer Aussage beinhaltete: " Mr. Lawyer sagt, dass Donald nie ihr Klient gewesen ist. Und er sagt, dass wir bluffen. Na ja. Der erste Teil mit den harmlosesten Informationen werden wir hier veröffentlichen." Der Beitrag endete mit Links zu 169 E-Mails, die angeblich einen kleinen Teil der "schmutzigen Wäsche" darstellten, die sie angeblich für den US-Präsidenten hatten.

Darüber hinaus aktualisierten die Hacker weiterhin Interessenten über ihre dunklen Webposts. In einem kürzlich veröffentlichten Beitrag behaupteten sie: "Interessierte Personen haben uns kontaktiert und sich bereit erklärt, alle Daten über den US-Präsidenten zu kaufen, die wir während der gesamten Zeit unserer Aktivitäten gesammelt haben." Sie sagten weiter, wie "sehr zufrieden mit dem Deal " sie waren, teilten aber keine Einzelheiten mit . Das ließ viele glauben, es sei alles ein großer Trick, den Experten dann als Tatsache bestätigten.

Was der Hoax-Theorie weitere Glaubwürdigkeit verlieh, war die Tatsache, dass die 169 E-Mails, die die Hacker als "Beweis" für den Schmutz, den sie auf Trump haben, teilten, zumindest als mangelhaft befunden wurden. Die E-Mails schienen nichts zu enthalten, was als "Schmutz" eingestuft werden könnte. Außerdem sah es so aus, als hätte jemand in Archiven nach dem Wort "Trumpf" gesucht und dann alles geteilt, was dieses bestimmte Wort enthielt. Dazu gehörten "Trump" als Verb und Nachrichten, die sich auf Trump in der dritten Person beziehen. Experten zufolge hatte der Datendump wenig bis gar nichts, was sich überhaupt auf den Präsidenten beziehen könnte. Der Vorwand, dass sie es taten, wurde lediglich als Hebel für das Lösegeld genutzt, um bezahlt zu werden.

Eine Lösegeldanfrage, die nach den Sternen greift.

Die REvil-Hacker haben ihrer Gier keine Grenzen gesetzt. Das Lösegeld, das sie beantragt haben, beläuft sich auf 42 Millionen US-Dollar, um in Bitcoin bezahlt zu werden, oder 34,6 Millionen Pfund, und das ist kein geringer Betrag.

Anfangs gaben die Cyber-Erpresser der Anwaltskanzlei eine Woche Zeit, um ihnen die Hälfte davon zu zahlen - 21 Millionen Dollar Lösegeld, aber die Kanzlei widersprach dem Angebot. Sie einigten sich darauf, nur einen Bruchteil des angeforderten Betrags zu überweisen - nur 365.000 US-Dollar. Da ihre Forderung nicht erfüllt wurde, verdoppelten die Gauner sie. Wenn es bezahlt würde, wäre es das größte Lösegeld, das Cyber-Angreifern jemals gewährt wurde.

Die REvil-Angreifer neigen dazu, ihre Aussagen im dunklen Netz zu veröffentlichen. Dort nutzen sie Foren, um alle über ihre Bedrohungen, Gedanken und Handlungen zu informieren. Die Gauner stahlen der New Yorker Anwaltskanzlei Verträge, Geheimhaltungsvereinbarungen (NDAs), E-Mail-Adressen, Telefonnummern, persönliche Korrespondenz, Musikrechte usw. In einem solchen Forum haben die Cyberkriminellen ihren Hack bewiesen, indem sie private Dateien darauf verloren haben.

Um die Anwaltskanzlei vermutlich unter Druck zu setzen, zahlten die Angreifer einige der gestohlenen Daten im dunklen Internet. Sie teilten Bilder von "einem Vertrag für Madonnas 'Madame X'-Tour 2019-20 mit Live Nation" in einem dunklen Webforum. Außerdem veröffentlichten sie 2,4 GB Daten mit rechtlichen Dokumenten von Lady Gaga - Konzertverträge, Fernsehauftritte und Merchandising.

Abb.2
Als Teil von Madonnas jüngstem Madame X-Tourvertrag hat REvil über den Hack gestohlen. Quelle: dailymail.co.uk

Nach diesen Lecks kam die Drohung, dass der Präsident als nächstes auf der Liste steht.

"Die nächste Person, die wir veröffentlichen werden, ist Donald Trump. Es findet ein Wahlkampf statt, und wir haben pünktlich eine Menge schmutziger Wäsche gefunden. Mr. Trump, wenn Sie Präsident bleiben wollen, stecken Sie einen scharfen Stock gegen die Jungs. Andernfalls können Sie diesen Ehrgeiz für immer vergessen. Und Ihren Wählern können wir Sie mitteilen, dass Sie ihn nach einer solchen Veröffentlichung sicherlich nicht als Präsidenten sehen möchten. Lassen Sie uns die Details aus. Die Frist beträgt eine Woche. ""

Wie bereits erwähnt, fanden Experten die Behauptung, Donald Trump sei ein Kunde der Firma, falsch. Es ist immer noch wichtig anzumerken, dass die Cyber-Angreifer, selbst wenn sie Donald Trump nicht wirklich beschmutzen, viele sensible, private Informationen über eine Reihe von Prominenten haben.

Experten schlagen vor, dass die einzige Möglichkeit für die Kriminellen, einen Gewinn zu erzielen, darin besteht, das zu versteigern, was sie gestohlen haben. Und sie haben bereits damit begonnen. Sie kündigten an, am 25. Mai die Daten zu Madonna - einem bestätigten Mandanten der gehackten Anwaltskanzlei - zu versteigern. Der Startpreis wäre eine Million Dollar.

Es ist nicht abzusehen, wie viel Geld die Cybercrooks mit den von ihnen gestohlenen Daten verdienen können. Nach ihrem Hack gaben Experten an, dass REvil mit 756 GB Daten davongekommen sei.

Ein bisschen mehr über REvil.

Die berüchtigte Hacker-Gruppe REvil stammt angeblich aus Osteuropa. Wenn der Name klingelt, liegt es daran, dass es berüchtigte Ransomware mit demselben Namen gibt, die Webbenutzer seit einiger Zeit plagt. REvil, auch bekannt als Sodinokibi, ist eine gewaltige Ransomware-Bedrohung, die am 17. April 2019 entdeckt wurde.

Die Infektion wird normalerweise über Backdoor-Software-Installationsprogramme, Scan-and-Exploit-Techniken, RDP-Server und Exploit-Kits verteilt.

Sobald sich die Ransomware in Ihr System einschleicht, wird ihre Programmierung aktiviert. Die Malware verschlüsselt alles.

Um potenzielle Ressourcenkonflikte zu vermeiden, die der Ransomware beim Löschen oder Verschlüsseln von Dateien im Wege stehen würden, beendet REvil Prozesse auf der schwarzen Liste. Außerdem werden Schattenkopien gelöscht, um sicherzustellen, dass das Zielsystem nicht wiederherstellen kann, was gesperrt und gelöscht wurde, indem es sich an die Sicherung wendet. Um das Ganze abzurunden, wird auch der Wiederherstellungsmodus deaktiviert.

Nach Abschluss der Verschlüsselung erhalten Sie eine Lösegeldnotiz. Sie finden es auf Ihrem Desktop und in jedem Ordner, der verschlüsselte Dateien enthält. Es handelt sich in der Regel um eine ' txt' -Datei mit dem Namen' HOW-TO-DECRYPT.txt '. Unten sehen Sie ein Beispiel für einen REvil-Lösegeldschein.

Abb. 3
Ein REvil-Lösegeldschein. Quelle: Secureworks

Sie müssen nicht weiter als auf Ihrem Desktop suchen, um festzustellen, dass Sie in Schwierigkeiten sind. Nicht nur, weil REvil Ihnen dort die Lösegeldnotiz hinterlässt, sondern auch, weil es Ihr Desktop-Hintergrundbild ändert. Um Sie auf Ihre Tortur aufmerksam zu machen, erhalten Sie ein neues Bild. Es ist nichts Besonderes, aber im Gegenteil. Unten sehen Sie ein Beispiel.

Abb.4
Beispiel eines Desktop-Hintergrunds nach der Verschlüsselung. Quelle: Secureworks

Der Lösegeldschein enthält Anweisungen dazu, was die Cyber-Angreifer von Ihnen erwarten. Sie möchten, dass Sie zu einer eindeutigen URL gehen, wenn Sie Ihre Daten entschlüsseln möchten. Wenn Sie es öffnen, führt Sie diese URL zu einer von Angreifern kontrollierten Site, auf der ein Lösegeld-Zahlungsschlüssel und ein Erweiterungsformular angezeigt werden. Die Erpresser erwarten von Ihnen, dass Sie den Schlüssel und den Nebenstellennamen angeben, die Sie in Ihrem Lösegeld finden.

Abb.5
Lösegeldzahlungsschlüssel und Verlängerungsformular. Quelle: Secureworks

Nachdem Sie dies getan haben (geben Sie Ihre eindeutigen Informationen ein), teilen sie Ihnen den genauen Lösegeldbetrag mit, den Sie zahlen sollen. Es ist fast immer ausschließlich in Bitcoin. Unten finden Sie ein Beispiel für eine Zahlungsanforderung und Anweisungen, die Sie befolgen müssen.

Abb.6
Anweisungen und Details zur Lösegeldzahlung. Quelle: Secureworks

Die Datenentführer versprechen, dass Sie die Kontrolle über Ihre Daten wiedererlangen können, wenn Sie alles tun, was sie von Ihnen verlangen. Angeblich senden sie Ihnen nach der Zahlung einen Entschlüsselungsschlüssel, der alles entsperrt, was sie gesperrt haben. Um Ihr Vertrauen zu gewinnen, bieten sie an, drei Ihrer Dateien kostenlos zu entschlüsseln und Ihnen die Wahl zwischen " png" -, " jpg " - und " gif " -Dateien zu geben.

Abb.7
Testentschlüsselungsangebot. Quelle: Secureworks

Befolgen Sie die Ratschläge von Experten und fallen Sie NICHT auf diese Lügen herein. Denken Sie daran, Sie haben es mit Cyberkriminellen zu tun. Leute, die Ihr System infiltriert haben, haben es dann beschädigt. Sie können keinem Wort vertrauen, das sie sagen. Fallen Sie nicht in das Netz der Lügen, die sie drehen, und folgen Sie ihren Anweisungen. Zahlen Sie nicht das Lösegeld! Verschwenden Sie nicht Ihre Energie und Ihr Geld im Umgang mit diesen Menschen. Es ist deine Zeit nicht wert.

May 28, 2020
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.