REvil Cyber Crime Group frappe un cabinet d'avocats célèbre - prend son envol avec une multitude d'informations privées

Le groupe de cybercriminalité REvil a mené une attaque si effrontée que le gouvernement américain les a qualifiés de terroristes. Les pirates notoires ont ciblé un cabinet d'avocats basé à New York - Grubman Shire Meiselas & Sacks. Cela, en soi, n'est pas digne de la marque terroriste. Cependant, ce qui distingue cette cyberattaque, c'est la liste des clients de l'entreprise ciblée et la demande de rançon obscène.

Le groupe REvil a infecté la firme de New York avec des ransomwares, a chiffré ses systèmes et a volé une quantité stupéfiante de données privées dans une liste impressionnante de clients. Les attaquants ont supprimé ou chiffré toutes leurs sauvegardes. Ainsi, ne leur laissant aucune option, mais la conformité. Le seul moyen apparent pour le cabinet d'avocats de reprendre le contrôle de ses données est de payer la rançon, d'obtenir une clé de déchiffrement unique et de déverrouiller les fichiers verrouillés.

Une liste de clients impressionnante.

Le cabinet d'avocats de New York a renforcé une liste impressionnante de clients. Parmi les noms, vous trouverez Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. Et cela ne fait qu'effleurer la surface.

Fig. 1
REvil a publié une capture d'écran de fichiers intitulés avec les noms des clients de l'entreprise. Source: Dailymail.co.uk

Les cyber-attaquants ont également affirmé que Donald Trump, le président américain, faisait partie des clients de la firme et qu'ils avaient désormais de la "saleté" sur lui. Cependant, cette affirmation a été réfutée.

Ce détail mineur n'a pas empêché les cybercriminels de poursuivre leur mascarade et de menacer d'exposer des informations sensibles sur Trump.

Les assaillants ont menacé de divulguer toutes les données qu'ils avaient volées à moins qu'ils ne reçoivent une rançon obscène. Avec des enjeux aussi élevés, naturellement, le FBI s'est impliqué. Le bureau a saisi l'affaire et a annoncé que " négocier avec ou payer une rançon aux terroristes est une violation du droit pénal fédéral".

REvil Attirer l’attention du FBI.

Dès que les représentants du groupe ont découvert leur nouvelle marque terroriste, ils ont été très contrariés. Se faire gifler avec le mot «terroriste» n'est pas ce à quoi ils s'attendaient, et cela a incité les cyber-attaquants à réagir rapidement. Ils se sont tournés vers la toile sombre et ont publié une longue diatribe concernant l'affaire. Une partie de leur déclaration comprenait: " M. Lawyer dit que Donald n'a jamais été leur client. Et il dit que nous bluffons. Oh bien. La première partie, avec les informations les plus inoffensives, nous publierons ici." Le message se terminait par des liens vers 169 courriels, qui n'étaient censés être qu'une petite partie du `` linge sale '' qu'ils prétendaient avoir sur le président américain.

En outre, les pirates ont continué à mettre à jour les parties intéressées via leurs publications sur le Web. Dans un récent message de ce type, ils ont affirmé que "des personnes intéressées nous ont contactés et ont accepté d'acheter toutes les données sur le président américain, que nous avons accumulées pendant toute la durée de notre activité". Ils ont poursuivi en disant à quel point ils étaient "très satisfaits de l'accord " mais ne partageaient pas les détails. Cela a conduit beaucoup de gens à croire que tout cela n'était qu'une grosse ruse, ce que les experts ont ensuite confirmé comme étant un fait.

Ce qui a donné plus de crédibilité à la théorie du canular, c'est le fait que les 169 courriels que les pirates ont partagés comme `` preuve '' de la saleté qu'ils ont sur Trump, ont à tout le moins été jugés manquants. Les courriels ne semblaient contenir rien qui puisse être classé comme «saleté». De plus, on aurait dit que quelqu'un parcourait les archives en recherchant le mot «atout» et partageait ensuite tout ce qui contenait ce mot spécifique. Cela comprenait `` atout '' utilisé comme verbe et des messages faisant référence à Trump à la troisième personne. Selon les experts, le transfert de données ne contenait pratiquement rien qui puisse concerner le président. La prétention qu'ils ont faite a simplement été utilisée comme levier pour que la rançon soit payée.

Une demande de rançon qui atteint les étoiles.

Les hackers REvil n'ont pas mis de limite à leur cupidité. La rançon qu'ils ont demandée s'élève à 42 millions de dollars pour être payé en Bitcoin, soit 34,6 millions de livres sterling, et ce n'est pas rien.

Initialement, les cyber-extorqueurs ont donné au cabinet d'avocats une semaine pour leur verser la moitié de ce montant - 21 millions de dollars en rançon, mais le cabinet a contre-argumenté l'offre. Ils ont accepté de transférer une simple fraction du montant demandé - seulement 365 000 $. Comme leur demande n'a pas été satisfaite, les escrocs l'ont doublée. Si elle devait être payée, elle deviendrait la plus grosse rançon jamais accordée aux cyber-attaquants.

Les attaquants REvil ont tendance à publier leurs déclarations sur le dark web. Ils utilisent des forums pour informer tout le monde sur leurs menaces, leurs pensées et leurs actions. Les escrocs ont volé des contrats, des accords de non-divulgation (NDA), des adresses e-mail, des numéros de téléphone, de la correspondance personnelle, des droits musicaux, etc., au cabinet d'avocats de New York. C'est sur un de ces forums que les cybercriminels ont offert la preuve de leur piratage, en y divulguant des fichiers privés.

Pour vraisemblablement faire pression sur le cabinet d'avocats pour qu'il paie, les attaquants ont publié certaines des données volées sur le dark web. Ils ont partagé des images d' un "contrat pour la tournée Madonna 2019-2020 de Madame X avec Live Nation", sur un forum sombre. En outre, ils ont publié 2,4 Go de données contenant des documents juridiques de Lady Gaga - contrats de concert, apparitions télévisées et marchandisage.

Fig.2
Dans le cadre du récent contrat de tournée de Madame X avec Madonna, REvil a volé via le hack. Source: dailymail.co.uk

Après ces fuites est venue la menace que le président soit le prochain sur la liste.

"La prochaine personne que nous publierons est Donald Trump. Il y a une course aux élections en cours, et nous avons trouvé une tonne de linge sale à l'heure. M. Trump, si vous voulez rester président, donnez un coup de bâton aux gars, sinon vous risquez d'oublier cette ambition pour toujours. Et pour vous électeurs, nous pouvons vous faire savoir qu'après une telle publication, vous ne voulez certainement pas le voir comme président. Eh bien, laissons de côté les détails. Le délai est d'une semaine. "

Comme déjà indiqué, les experts ont conclu que l'affirmation selon laquelle Donald Trump était un client de l'entreprise était fausse. Il est toujours important de noter que même si les cyber-attaquants n'ont pas vraiment de saleté sur Donald Trump, ils ont beaucoup d'informations confidentielles et confidentielles sur une multitude de célébrités.

Les experts suggèrent que le seul moyen pour les criminels de réaliser un profit est de vendre aux enchères ce qu'ils ont réussi à voler. Et, ils ont déjà commencé à le faire. Ils ont annoncé que le 25 mai, ils mettraient aux enchères les données relatives à Madonna - un client confirmé du cabinet d'avocats piraté. Le prix de départ serait d'un million de dollars.

On ne sait pas combien d'argent les cybercriminels peuvent tirer des données qu'ils ont volées. Après leur piratage, les experts ont allégué que REvil s'en était tiré avec 756 Go de données.

Un peu plus sur REvil.

Le célèbre groupe de hackers REvil proviendrait de l'Europe de l'Est. Si le nom sonne, c'est parce qu'il y a un tristement célèbre ransomware du même nom, qui tourmente les internautes depuis un certain temps. REvil, également connu sous le nom de Sodinokibi, est une redoutable menace de ransomware, découverte le 17 avril 2019.

L'infection est généralement distribuée via des installateurs de logiciels détournés, des techniques de scan et d'exploitation, des serveurs RDP et des kits d'exploitation.

Dès que le ransomware s'infiltre dans votre système, sa programmation s'active. Le malware crypte tout.

Pour éviter les conflits de ressources potentiels qui gêneraient le ransomware pour effacer ou crypter les fichiers, REvil met fin aux processus sur liste noire. Il supprime également les clichés instantanés, garantissant que son système cible ne peut pas restaurer ce qui a été verrouillé et supprimé en se tournant vers sa sauvegarde. Pour couronner le tout, il désactive également le mode de récupération.

Une fois le cryptage terminé, il vous laisse une note de rançon. Vous pouvez le trouver sur votre bureau et dans chaque dossier contenant des fichiers cryptés. Il s'agit généralement d'un fichier ' txt ' appelé ' HOW-TO-DECRYPT.txt '. Ci-dessous, vous pouvez voir un exemple de note de rançon REvil.

Fig.3
Une note de rançon REvil. Source: Secureworks

Vous n'avez pas besoin de regarder plus loin que sur votre bureau pour vous rendre compte que vous avez des ennuis. Non seulement parce que REvil vous laisse la note de rançon là-bas, mais aussi parce qu'il change le fond d'écran de votre bureau. Pour vous donner une idée de votre épreuve, cela vous donne une nouvelle image. Ce n'est rien d'extraordinaire, mais bien au contraire. Vous pouvez voir un exemple ci-dessous.

Fig.4
Exemple d'arrière-plan du bureau après cryptage. Source: Secureworks

La note de rançon contient des instructions sur ce que les cyber-attaquants attendent de vous. Ils veulent que vous accédiez à une URL unique si vous souhaitez décrypter vos données. Si vous l'ouvrez, cette URL vous amène à un site contrôlé par un attaquant, qui vous montre une clé de paiement de rançon et un formulaire d'extension. Les extorqueurs s'attendent à ce que vous fournissiez la clé et le nom de l'extension, que vous pouvez trouver dans votre note de rançon.

Fig.5
Clé de paiement de la rançon et formulaire d'extension. Source: Secureworks

Après cela (entrez vos informations uniques), ils vous indiquent le montant exact de la rançon qu'ils veulent que vous payiez. C'est presque toujours exclusivement en Bitcoin. Vous trouverez ci-dessous un exemple de demande de paiement et des instructions à suivre.

Fig.6
Instructions et détails du paiement de la rançon. Source: Secureworks

Les ravisseurs de données promettent que si vous faites tout ce qu'ils vous demandent, vous réussirez à reprendre le contrôle de vos données. Soi-disant, après le paiement, ils vous envoient une clé de décryptage, qui déverrouille tout ce qu'ils avaient verrouillé. Afin de gagner votre confiance, ils vous proposent de décrypter gratuitement trois de vos fichiers et de vous donner le choix entre les fichiers « png », « jpg » et « gif ».

Fig.7
Offre de décryptage d'essai. Source: Secureworks

Tenez compte des conseils des experts et ne tombez PAS dans ces mensonges. N'oubliez pas que vous traitez avec des cybercriminels. Les gens qui ont infiltré votre système l'ont ensuite corrompu. Vous ne pouvez pas faire confiance à un mot qu'ils disent. Ne tombez pas dans le tissu des mensonges qu'ils tournent et suivez leurs instructions. Ne payez pas la rançon! Ne gaspillez pas votre énergie et votre argent avec ces personnes. Ça ne vaut pas votre temps.

Par Kole
May 28, 2020
Ransomware
Français
May 28, 2020
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.