Το Revil Cyber Crime Group Strikes Celebrity Law Firm - ξεκινά με μια σειρά από ιδιωτικές πληροφορίες

Η ομάδα του εγκλήματος στον κυβερνοχώρο REvil πραγματοποίησε μια τόσο ανόητη επίθεση που η αμερικανική κυβέρνηση τους χαρακτήρισε τρομοκράτες. Οι διαβόητοι χάκερς στοχεύουν μια νομική εταιρεία με έδρα τη Νέα Υόρκη - Grubman Shire Meiselas & Sacks. Αυτό από μόνο του δεν είναι τίποτα άξιο της τρομοκρατικής μάρκας. Ωστόσο, αυτό που κάνει αυτήν την επίθεση στον κυβερνοχώρο να ξεχωρίζει είναι η λίστα πελατών της στοχευμένης εταιρείας και το άσεμνο αίτημα λύτρων.

Ο όμιλος REvil μολύνει την εταιρεία της Νέας Υόρκης με ransomware, κρυπτογραφεί τα συστήματά της και έκλεψε έναν εντυπωσιακό αριθμό ιδιωτικών δεδομένων από μια εντυπωσιακή λίστα πελατών. Οι εισβολείς διέγραψαν ή κρυπτογράφησαν όλα τα αντίγραφα ασφαλείας τους. Έτσι, δεν τους αφήνει άλλη επιλογή, αλλά συμμόρφωση. Ο μόνος προφανής τρόπος για τη νομική εταιρεία να ανακτήσει τον έλεγχο των δεδομένων της είναι να πληρώσει τα λύτρα, να πάρει ένα μοναδικό κλειδί αποκρυπτογράφησης και να ξεκλειδώσει τα κλειδωμένα αρχεία.

Μια εντυπωσιακή λίστα πελατών.

Η δικηγορική εταιρεία της Νέας Υόρκης ενίσχυσε έναν εντυπωσιακό κατάλογο πελατών. Μεταξύ των ονομάτων, θα βρείτε τις Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. Και, αυτό απλώς γρατσουνίζει την επιφάνεια.

Εικ. 1
Η REvil δημοσίευσε ένα στιγμιότυπο οθόνης αρχείων με τα ονόματα των πελατών της εταιρείας. Πηγή: Dailymail.co.uk

Οι επιτιθέμενοι στον κυβερνοχώρο ισχυρίστηκαν επίσης ότι ο Ντόναλντ Τραμπ, ο Πρόεδρος των ΗΠΑ, ήταν μεταξύ των πελατών της εταιρείας και ότι τώρα έχουν «βρωμιά» πάνω του. Ωστόσο, αυτός ο ισχυρισμός έχει αποδειχθεί.

Αυτή η μικρή λεπτομέρεια δεν εμπόδισε τους εγκληματίες του κυβερνοχώρου να συνεχίσουν τη χαρά τους και να απειλούν να εκθέσουν ευαίσθητες πληροφορίες για τον Τραμπ.

Οι επιτιθέμενοι απείλησαν να απελευθερώσουν όλα τα δεδομένα που έκλεψαν, εκτός αν πληρώνονταν άσεμνο χρηματικό ποσό ως λύτρα. Με τα στοιχήματα τόσο υψηλά, φυσικά, το FBI συμμετείχε. Το γραφείο πήρε την υπόθεση και ανακοίνωσε ότι «η διαπραγμάτευση με ή η πληρωμή λύτρων σε τρομοκράτες αποτελεί παραβίαση του ομοσπονδιακού ποινικού δικαίου».

Αποκαλύψτε την προσοχή του FBI.

Μόλις οι εκπρόσωποι της ομάδας ανακάλυψαν τη νέα τους τρομοκρατική επωνυμία, αναστατώθηκαν αρκετά. Το να χτυπήσετε με τη λέξη «τρομοκράτης» δεν είναι αυτό που περίμεναν και προκάλεσε μια γρήγορη απάντηση από τους επιτιθέμενους στον κυβερνοχώρο. Γύρισαν στον σκοτεινό ιστό και δημοσίευσαν μια μακρά διαφωνία σχετικά με το θέμα. Μέρος της δήλωσής τους περιελάμβανε, "Ο κ. Δικηγόρος λέει ότι ο Ντόναλντ δεν ήταν ποτέ πελάτης τους. Και λέει ότι είμαστε μπλόφα. Ω καλά. Το πρώτο μέρος, με τις πιο αβλαβείς πληροφορίες, θα δημοσιεύσουμε εδώ." Η ανάρτηση τελείωσε με συνδέσμους σε 169 email, τα οποία υποτίθεται ότι αποτελούσαν ένα μικρό μέρος του «βρώμικου πλυντηρίου» που ισχυρίστηκαν ότι είχαν στον Πρόεδρο των ΗΠΑ.

Επιπλέον, οι χάκερ συνέχισαν να ενημερώνουν τα ενδιαφερόμενα μέρη μέσω των σκούρων ιστολογίων τους. Σε μια πρόσφατη τέτοια ανάρτηση, ισχυρίστηκαν ότι "Ενδιαφερόμενα άτομα επικοινώνησαν μαζί μας και συμφώνησαν να αγοράσουν όλα τα δεδομένα σχετικά με τον Πρόεδρο των ΗΠΑ, τα οποία έχουμε συγκεντρώσει καθ 'όλη τη διάρκεια της δραστηριότητάς μας". Συνέχισαν να λένε πόσο «πολύ ευχαριστημένοι με τη συμφωνία » ήταν, αλλά δεν μοιράστηκαν λεπτομέρειες. Αυτό οδήγησε πολλούς να πιστέψουν ότι ήταν όλα ένα μεγάλο δόγμα, το οποίο οι ειδικοί επιβεβαίωσαν τότε ως γεγονός.

Αυτό που έδωσε περισσότερη εμπιστοσύνη στη θεωρία της φάρσας ήταν το γεγονός ότι τα 169 μηνύματα που κοινοποίησαν οι χάκερ ως «απόδειξη» της βρωμιάς που είχαν στον Τραμπ, βρέθηκαν τουλάχιστον επιθυμητά. Τα μηνύματα ηλεκτρονικού ταχυδρομείου φάνηκαν να μην περιέχουν τίποτα που να μπορεί να χαρακτηριστεί ως «βρωμιά». Επιπλέον, έμοιαζε με κάποιον που περιήγησε σε αρχεία αναζητώντας τη λέξη «ατού» και στη συνέχεια μοιράστηκε όλα όσα περιείχαν τη συγκεκριμένη λέξη. Αυτό περιελάμβανε τη χρήση του «ατού» ως ρήματος και μηνυμάτων που αναφέρονται στον Τραμπ στο τρίτο άτομο. Σύμφωνα με εμπειρογνώμονες, η απόρριψη δεδομένων δεν είχε καθόλου τίποτα που να σχετίζεται καθόλου με τον Πρόεδρο. Η προσποίηση που έκαναν, απλώς χρησιμοποιήθηκε ως μόχλευση για να πληρώνονται τα λύτρα.

Ένα αίτημα Ransom που φτάνει στα αστέρια.

Οι χάκερ REvil δεν έθεσαν όριο στην απληστία τους. Τα λύτρα που ζήτησαν ανέρχονται σε 42 εκατομμύρια $ για να πληρωθούν σε Bitcoin, ή 34,6 εκατομμύρια £, και αυτό δεν είναι μικρό ποσό.

Αρχικά, οι εκβιαστές στον κυβερνοχώρο έδωσαν στη δικηγορική εταιρεία μια εβδομάδα για να τους πληρώσουν το μισό από αυτά - 21 εκατομμύρια δολάρια σε λύτρα, αλλά η εταιρεία αντέδρασε την προσφορά. Συμφώνησαν να μεταφέρουν ένα απλό κλάσμα του ζητούμενου ποσού - μόνο 365.000 $. Δεδομένου ότι το αίτημά τους δεν ικανοποιήθηκε, οι απατεώνες το διπλασίασαν. Αν πληρώνονταν, θα γινόταν το μεγαλύτερο λύτρο που δόθηκε ποτέ στους επιτιθέμενους στον κυβερνοχώρο.

Οι εισβολείς του REvil τείνουν να εκδίδουν τις δηλώσεις τους στον σκοτεινό ιστό. Χρησιμοποιούν φόρουμ εκεί για να καθοδηγήσουν σε όλους τις απειλές, τις σκέψεις και τις ενέργειές τους. Οι απατεώνες έκλεψαν συμβόλαια, συμφωνίες μη αποκάλυψης (NDA), διευθύνσεις email, αριθμούς τηλεφώνου, προσωπική αλληλογραφία, μουσικά δικαιώματα κ.ο.κ. από τη νομική εταιρεία της Νέας Υόρκης. Σε ένα τέτοιο φόρουμ, οι εγκληματίες του κυβερνοχώρου προσέφεραν αποδείξεις για το χάκερ τους, με διαρροή ιδιωτικών αρχείων σε αυτό.

Για να πιέσουν πιθανώς τη δικηγορική εταιρεία να πληρώσει, οι εισβολείς κυκλοφόρησαν μερικά από τα κλεμμένα δεδομένα στον σκοτεινό ιστό. Μοιράστηκαν εικόνες «συμβόλαιο για την περιοδεία Madonna X2020-2020 της Madonna με το Live Nation», σε ένα φόρουμ σκοτεινού ιστού. Επίσης, δημοσίευσαν 2,4 GB δεδομένων που περιέχουν νόμιμα έγγραφα της Lady Gaga - συμβόλαια συναυλιών, τηλεοπτικές εμφανίσεις και εμπορεύματα.

Το Σχ. 2
Μέρος του πρόσφατου συμβολαίου του Madame X, η REVIL έκλεψε μέσω του hack. Πηγή: dailymail.co.uk

Μετά από αυτές τις διαρροές ήρθε η απειλή ότι ο Πρόεδρος είναι ο επόμενος στη λίστα.

"Το επόμενο άτομο που θα δημοσιεύσουμε είναι ο Ντόναλντ Τραμπ. Εκτελείται ένας εκλογικός αγώνας και βρήκαμε έναν τόνο βρώμικων ρούχων εγκαίρως. Κύριε Τραμπ, αν θέλετε να παραμείνετε πρόεδρος, σπρώξτε ένα κοφτερό ραβδί στα παιδιά, αλλιώς μπορεί να ξεχάσετε αυτήν τη φιλοδοξία για πάντα. Και για εσάς τους ψηφοφόρους, μπορούμε να σας ενημερώσουμε ότι μετά από μια τέτοια δημοσίευση, σίγουρα δεν θέλετε να τον δείτε ως πρόεδρο. Λοιπόν, ας αφήσουμε τις λεπτομέρειες. Η προθεσμία είναι μία εβδομάδα. "

Όπως ήδη αναφέρθηκε, οι ειδικοί διαπίστωσαν ότι ο Ντόναλντ Τραμπ ήταν πελάτης της εταιρείας ήταν ψευδής. Είναι ακόμα σημαντικό να σημειωθεί ότι ακόμη και αν οι επιτιθέμενοι στον κυβερνοχώρο μπορεί να μην έχουν πραγματική βρωμιά στον Ντόναλντ Τραμπ, έχουν πολλές ευαίσθητες, ιδιωτικές πληροφορίες για μια σειρά από διασημότητες.

Οι ειδικοί προτείνουν ότι ο μόνος τρόπος για τους εγκληματίες να κερδίσουν κέρδος είναι να δημοπρατήσουν αυτό που κατάφεραν να κλέψουν. Και, έχουν ήδη αρχίσει να το κάνουν. Ανακοίνωσαν ότι στις 25 Μαΐου, θα δημοπρατήσουν τα δεδομένα που σχετίζονται με τη Madonna - έναν επιβεβαιωμένο πελάτη της παραβιασμένης νομικής εταιρείας. Η αρχική τιμή θα ήταν ένα εκατομμύριο δολάρια.

Δεν υπάρχει καμία ένδειξη πόσα χρήματα μπορούν να βγάλουν οι απατεώνες στον κυβερνοχώρο τα δεδομένα που έκλεψαν. Μετά την παραβίασή τους, οι ειδικοί ισχυρίστηκαν ότι η REvil ξεκίνησε με 756 GB δεδομένων.

Λίγα περισσότερα για το REvil.

Η διαβόητη ομάδα χάκερ REvil, φέρεται να προέρχεται από την Ανατολική Ευρώπη. Εάν το όνομα χτυπάει ένα κουδούνι, αυτό συμβαίνει επειδή υπάρχει διαβόητο ransomware με το ίδιο όνομα, το οποίο μαστίζει τους χρήστες του διαδικτύου για λίγο. Το REvil, επίσης γνωστό ως Sodinokibi, είναι μια τρομερή απειλή ransomware, που ανακαλύφθηκε στις 17 Απριλίου 2019.

Η μόλυνση διανέμεται συνήθως μέσω προγραμμάτων εγκατάστασης λογισμικού backdoored, τεχνικών σάρωσης και εκμετάλλευσης, διακομιστών RDP και κιτ εκμετάλλευσης.

Μόλις το ransomware γλιστράει στο σύστημά σας, ενεργοποιείται ο προγραμματισμός του. Το κακόβουλο λογισμικό κρυπτογραφεί τα πάντα.

Για να αποφευχθούν πιθανές διενέξεις πόρων που θα παρεμποδίζουν το ransomware να διαγράψει ή να κρυπτογραφήσει αρχεία, το REvil τερματίζει τις διαδικασίες μαύρης λίστας. Διαγράφει επίσης σκιώδη αντίγραφα, διασφαλίζοντας ότι το στοχευμένο σύστημά του δεν μπορεί να επαναφέρει αυτό που έχει κλειδωθεί και διαγραφεί μεταβαίνοντας στο αντίγραφο ασφαλείας του. Για να το ολοκληρώσετε, απενεργοποιεί επίσης τη λειτουργία ανάκτησης.

Αφού ολοκληρωθεί η κρυπτογράφηση, σας αφήνει μια σημείωση λύτρων. Μπορείτε να το βρείτε στην επιφάνεια εργασίας σας και σε κάθε φάκελο που περιέχει κρυπτογραφημένα αρχεία. Τείνει να είναι ένα αρχείο « txt » που ονομάζεται « HOW-TO-DECRYPT.txt ». Παρακάτω, μπορείτε να δείτε ένα παράδειγμα μιας σημείωσης λύτρων REvil.

Το Σχ. 3
Μια σημείωση για τα λύτρα του REVIL. Πηγή: Secureworks

Δεν χρειάζεται να κοιτάξετε περισσότερο από την επιφάνεια εργασίας σας, για να συνειδητοποιήσετε ότι αντιμετωπίζετε προβλήματα. Όχι μόνο επειδή το REvil σας αφήνει τη σημείωση λύτρων εκεί, αλλά και επειδή αλλάζει την ταπετσαρία της επιφάνειας εργασίας σας. Για να σας βοηθήσει να δοκιμάσετε, σας δίνει μια νέα εικόνα. Δεν είναι τίποτα φανταχτερό, αλλά το αντίθετο. Μπορείτε να δείτε ένα παράδειγμα παρακάτω.

Εικ. 4
Παράδειγμα φόντου επιφάνειας εργασίας μετά την κρυπτογράφηση. Πηγή: Secureworks

Η σημείωση λύτρων περιέχει οδηγίες σχετικά με το τι περιμένουν οι επιτιθέμενοι στον κυβερνοχώρο. Θέλουν να μεταβείτε σε μια μοναδική διεύθυνση URL εάν θέλετε να αποκρυπτογραφήσετε τα δεδομένα σας. Εάν το ανοίξετε, αυτή η διεύθυνση URL σας μεταφέρει σε έναν ιστότοπο που ελέγχεται από εισβολέα, ο οποίος σας δείχνει ένα κλειδί πληρωμής και μια φόρμα επέκτασης. Οι εκβιαστές σας περιμένουν να δώσετε το κλειδί και το όνομα επέκτασης, το οποίο μπορείτε να βρείτε στη σημείωση λύτρων.

Το Σχ. 5
Κλειδί πληρωμής και φόρμα επέκτασης. Πηγή: Secureworks

Αφού το κάνετε αυτό (εισαγάγετε τις μοναδικές πληροφορίες σας), σας λένε το ακριβές ποσό λύτρων που θέλουν να πληρώσετε. Είναι σχεδόν πάντα αποκλειστικά στο Bitcoin. Παρακάτω μπορείτε να βρείτε ένα παράδειγμα αιτήματος πληρωμής και οδηγίες που πρέπει να ακολουθήσετε.

Εικ. 6
Οδηγίες και λεπτομέρειες πληρωμής λύτρων. Πηγή: Secureworks

Οι απαγωγείς δεδομένων υπόσχονται ότι αν κάνετε ό, τι σας ζητούν, θα καταφέρετε να ανακτήσετε τον έλεγχο των δεδομένων σας. Υποτίθεται ότι, μετά την πληρωμή, σας στέλνουν ένα κλειδί αποκρυπτογράφησης, το οποίο ξεκλειδώνει όλα όσα είχαν κλειδώσει. Σε μια προσπάθεια να κερδίσετε την εμπιστοσύνη σας, προσφέρουν την αποκρυπτογράφηση τριών αρχείων σας δωρεάν και σας δίνουν τη δυνατότητα επιλογής μεταξύ αρχείων « png », « jpg » και « gif ».

Το Σχ. 7
Προσφορά αποκρυπτογράφησης. Πηγή: Secureworks

Λάβετε υπόψη τις συμβουλές των ειδικών και ΜΗΝ πέφτετε για αυτά τα ψέματα. Θυμηθείτε, αντιμετωπίζετε εγκληματίες στον κυβερνοχώρο. Άτομα που διείσδυσαν το σύστημά σας το κατέστρεψαν. Δεν μπορείτε να εμπιστευτείτε μια λέξη που λένε. Μην πέσετε στον ιστό των ψεμάτων που γυρίζουν και ακολουθήστε τις οδηγίες τους. Μην πληρώσετε τα λύτρα! Μην σπαταλάτε την ενέργεια και τα χρήματά σας με αυτούς τους ανθρώπους. Δεν αξίζει τον χρόνο σας.

May 28, 2020
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.