REvil Cyber Crime Group ataca a un bufete de abogados famoso - despega con una gran cantidad de información privada

El grupo de ciberdelincuencia REvil llevó a cabo un ataque tan descarado que el gobierno estadounidense los calificó de terroristas. Los notorios piratas informáticos atacaron un bufete de abogados con sede en Nueva York: Grubman Shire Meiselas & Sacks. Eso, en sí mismo, no es nada digno de la marca terrorista. Sin embargo, lo que hace que este ataque cibernético se destaque es la lista de clientes de la empresa objetivo y la solicitud de rescate obscena.

El grupo REvil infectó a la empresa de Nueva York con ransomware, cifró sus sistemas y robó una asombrosa cantidad de datos privados de una impresionante lista de clientes. Los atacantes eliminaron o cifraron todas sus copias de seguridad. Por lo tanto, no les deja otra opción, sino el cumplimiento. La única forma aparente para que la firma de abogados recupere el control de sus datos es pagar el rescate, obtener una clave de descifrado única y desbloquear los archivos bloqueados.

Una impresionante lista de clientes.

El bufete de abogados de Nueva York reforzó una impresionante lista de clientes. Entre los nombres, se encuentran Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofía Vergara. Y eso simplemente rasca la superficie.

Figura 1
REvil publicó una captura de pantalla de archivos titulados con los nombres de los clientes de la compañía. Fuente: Dailymail.co.uk

Los ciberatacantes también afirmaron que Donald Trump, el presidente de EE. UU., Estaba entre los clientes de la empresa y que ahora tienen "suciedad" en él. Sin embargo, esa afirmación ha sido refutada.

Ese pequeño detalle no impidió que los cibercriminales continuaran su farsa y amenazaran con exponer información confidencial sobre Trump.

Los atacantes amenazaron con liberar todos los datos que robaron a menos que se les pagara una cantidad obscena de dinero en rescate. Con las apuestas tan altas, naturalmente, el FBI se involucró. La oficina recibió el caso y anunció que " negociar o pagar un rescate a los terroristas es una violación de la ley penal federal".

REvil llamando la atención del FBI.

Tan pronto como los representantes del grupo se enteraron de su nueva marca terrorista, se enojaron bastante. Ser abofeteado con la palabra "terrorista" no es lo que esperaban, y provocó una respuesta rápida de los ciberatacantes. Se volvieron hacia la red oscura y publicaron una larga perorata sobre el asunto. Parte de su declaración incluía: "El Sr. Lawyer dice que Donald nunca ha sido su cliente. Y dice que estamos mintiendo. Oh, bueno. La primera parte, con la información más inofensiva, publicaremos aquí". La publicación terminó con enlaces a 169 correos electrónicos, que supuestamente eran una pequeña parte de la 'ropa sucia' que afirmaban tener sobre el presidente de los Estados Unidos.

Además, los hackers continuaron actualizando a las partes interesadas a través de sus publicaciones web oscuras. En una publicación reciente de este tipo, afirmaron que "las personas interesadas nos contactaron y aceptaron comprar todos los datos sobre el presidente de los Estados Unidos, que hemos acumulado durante todo el tiempo de nuestra actividad". Continuaron diciendo que estaban "muy satisfechos con el acuerdo ", pero no compartieron detalles. Eso llevó a muchos a creer que se trataba de una gran artimaña, que los expertos confirmaron como un hecho.

Lo que dio más credibilidad a la teoría del engaño fue el hecho de que los 169 correos electrónicos que los piratas informáticos compartieron como 'prueba' de la suciedad que tienen en Trump, por lo menos, se consideraron deficientes. Los correos electrónicos parecían no contener nada que pueda clasificarse como 'suciedad'. Además, parecía que alguien navegaba por los archivos buscando la palabra 'triunfo' y luego compartía todo lo que contenía esa palabra específica. Eso incluía 'triunfo' que se usaba como verbo y mensajes que se referían a Trump en tercera persona. Según los expertos, el volcado de datos tenía poco o nada que pudiera relacionarse con el Presidente. La pretensión de que lo hicieron, simplemente se utilizó como palanca para que se pagara el rescate.

Una solicitud de rescate que llega a las estrellas.

Los hackers REvil no pusieron un límite a su avaricia. El rescate que solicitaron asciende a $ 42 millones para recibir el pago en Bitcoin, o £ 34.6 millones, y eso no es una cantidad pequeña.

Inicialmente, los extorsionistas cibernéticos le dieron al bufete de abogados una semana para pagarles la mitad de eso: $ 21 millones en rescate, pero el bufete rechazó la oferta. Acordaron transferir una mera fracción de la cantidad solicitada, solo $ 365,000. Como su demanda no fue satisfecha, los delincuentes la duplicaron. Si se pagara, se convertiría en el mayor rescate otorgado a los ciberatacantes.

Los atacantes REvil tienden a emitir sus declaraciones en la web oscura. Usan foros allí para dar pistas a todos sobre sus amenazas, pensamientos y acciones. Los delincuentes robaron contratos, acuerdos de confidencialidad (NDA), direcciones de correo electrónico, números de teléfono, correspondencia personal, derechos de música, etc., del bufete de abogados de Nueva York. Es en uno de esos foros donde los ciberdelincuentes ofrecieron pruebas de su pirateo, filtrando archivos privados en él.

Para presumiblemente presionar al bufete de abogados para que pague, los atacantes publicaron algunos de los datos robados en la web oscura. Compartieron imágenes de "un contrato para la gira 'Madame X' de Madonna 2019-20 con Live Nation", en un oscuro foro web. Además, publicaron 2.4GB de datos que contienen documentos legales de Lady Gaga: contratos de conciertos, apariciones en televisión y merchandising.

Figura 2
Parte del reciente contrato de Madame X para la gira de Madonna, REvil robó a través del hack. Fuente: dailymail.co.uk

Después de esas filtraciones surgió la amenaza de que el Presidente sea el próximo en la lista.

"La próxima persona que publicaremos es Donald Trump. Hay una carrera electoral en curso, y encontramos un montón de ropa sucia a tiempo. Sr. Trump, si quiere seguir siendo presidente, golpee a los muchachos, de lo contrario, puede olvidar esta ambición para siempre. Y para sus votantes, podemos informarles que después de tal publicación, ciertamente no quieren verlo como presidente. Bueno, dejemos de lado los detalles. La fecha límite es una semana. "

Como ya se dijo, los expertos encontraron que la afirmación de que Donald Trump era un cliente de la empresa era falsa. Todavía es importante tener en cuenta que incluso si los ciberatacantes pueden no tener nada real sobre Donald Trump, sí tienen mucha información confidencial y privada sobre una gran cantidad de celebridades.

Los expertos sugieren que la única forma en que los delincuentes pueden obtener ganancias es subastando lo que lograron robar. Y, ya han comenzado a hacerlo. Anunciaron que el 25 de mayo, subastarían los datos relacionados con Madonna, un cliente confirmado de la firma de abogados pirateada. El precio inicial sería un millón de dólares.

No se sabe cuánto dinero pueden ganar los ciberdelincuentes con los datos que robaron. Después de su pirateo, los expertos alegaron que REvil se escapó con 756 GB de datos.

Un poco más sobre el mal.

El famoso grupo de hackers REvil, supuestamente proviene de Europa del Este. Si el nombre suena, es porque hay un ransomware infame con el mismo nombre, que ha estado afectando a los usuarios de la web durante un tiempo. REvil, también conocido como Sodinokibi, es una amenaza de ransomware formidable, descubierta el 17 de abril de 2019.

La infección generalmente se distribuye a través de instaladores de software retroactivos, técnicas de exploración y explotación, servidores RDP y kits de explotación.

Tan pronto como el ransomware se desliza en su sistema, se activa su programación. El malware encripta todo.

Para evitar posibles conflictos de recursos que se interpongan en el camino del ransomware para borrar o cifrar archivos, REvil finaliza los procesos en la lista negra. También elimina las instantáneas, asegurando que su sistema de destino no pueda restaurar lo que se bloqueó y eliminó al recurrir a su copia de seguridad. Para colmo, también desactiva el modo de recuperación.

Una vez que finaliza el cifrado, te deja una nota de rescate. Puede encontrarlo en su escritorio y en cada carpeta que contenga archivos cifrados. Tiende a ser un archivo ' txt ' llamado ' HOW-TO-DECRYPT.txt '. A continuación, puede ver un ejemplo de una nota de rescate REvil.

Fig. 3
Una nota de rescate malvada. Fuente: Secureworks

No necesita mirar más allá de su escritorio para darse cuenta de que está en problemas. No solo porque REvil te deja la nota de rescate allí, sino también porque cambia el fondo de escritorio. Para darte una idea de tu terrible experiencia, te da una nueva imagen. No es nada lujoso, sino todo lo contrario. Puedes ver un ejemplo a continuación.

Fig.4
Ejemplo de un fondo de escritorio después del cifrado. Fuente: Secureworks

La nota de rescate contiene instrucciones sobre lo que los ciberatacantes esperan que hagas. Quieren que vaya a una URL única si va a descifrar sus datos. Si lo abre, esa URL lo lleva a un sitio controlado por el atacante, que le muestra una clave de pago de rescate y un formulario de extensión. Los extorsionistas esperan que proporciones la clave y el nombre de la extensión, que puedes encontrar en tu nota de rescate.

Fig.5
Clave de pago de rescate y formulario de extensión. Fuente: Secureworks

Después de hacer eso (ingrese su información única), le informan la cantidad exacta de rescate que desean que pague. Casi siempre es exclusivamente en Bitcoin. A continuación puede encontrar un ejemplo de una solicitud de pago e instrucciones a seguir.

Fig.6
Instrucciones y detalles del pago del rescate. Fuente: Secureworks

Los secuestradores de datos prometen que si haces todo lo que te piden, podrás recuperar el control de tus datos. Supuestamente, después del pago, le envían una clave de descifrado, que desbloquea todo lo que habían bloqueado. En un intento por ganarse su confianza, ofrecen descifrar tres de sus archivos de forma gratuita y le permiten elegir entre los archivos ' png ,' ' jpg ' y ' gif '.

Fig.7
Oferta de descifrado de prueba. Fuente: Secureworks

Preste atención a los consejos de los expertos y NO caiga en estas mentiras. Recuerde, se trata de cibercriminales. Las personas que se infiltraron en su sistema lo corrompieron. No puedes confiar en una palabra que digan. No caigas en la red de mentiras que hacen girar y sigue sus instrucciones. ¡No pagues el rescate! No malgastes tu energía y dinero tratando con estas personas. No vale la pena tu tiempo.

En Kole
May 28, 2020
Ransomware
Spanish
May 28, 2020
Ransomware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.