REvil Cyber Crime Group colpisce lo studio legale delle celebrità: inizia con una serie di informazioni private

Il gruppo criminale informatico REvil ha effettuato un attacco così sfacciato che il governo americano li ha bollati come terroristi. I famigerati hacker hanno preso di mira uno studio legale con sede a New York - Grubman Shire Meiselas & Sacks. Questo, di per sé, non è qualcosa di degno del marchio terroristico. Tuttavia, ciò che distingue questo attacco informatico è l'elenco dei clienti dell'azienda target e l'oscena richiesta di riscatto.

Il gruppo REvil ha infettato la società di New York con ransomware, crittografato i suoi sistemi e rubato una quantità sbalorditiva di dati privati da un impressionante elenco di clienti. Gli aggressori hanno eliminato o crittografato tutti i loro backup. Pertanto, non lasciando loro alcuna opzione, ma conformità. L'unico modo apparente per lo studio legale di riprendere il controllo dei propri dati è pagare il riscatto, ottenere una chiave di decrittazione unica e sbloccare i file bloccati.

Un impressionante elenco di clienti.

Lo studio legale di New York ha sostenuto un impressionante elenco di clienti. Tra i nomi troviamo Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. E questo semplicemente graffia la superficie.

Fig. 1
REvil ha pubblicato uno screenshot di file intitolato con i nomi dei clienti dell'azienda. Fonte: Dailymail.co.uk

I cyber aggressori hanno anche affermato che Donald Trump, il presidente degli Stati Uniti, era tra i clienti dell'azienda e che ora hanno "sporcizia" su di lui. Tuttavia, tale affermazione è stata smentita.

Questo piccolo dettaglio non ha impedito ai criminali informatici di continuare la loro sciarada e minacciando di esporre informazioni sensibili su Trump.

Gli aggressori hanno minacciato di rilasciare tutti i dati che hanno rubato a meno che non siano stati pagati una quantità oscena di denaro in riscatto. Con la posta in gioco così alta, naturalmente, l'FBI è stato coinvolto. L'ufficio ha preso il caso e ha annunciato che " negoziare o pagare il riscatto ai terroristi è una violazione del diritto penale federale".

RILIEVO Ottenere l’attenzione dell’FBI.

Non appena i rappresentanti del gruppo hanno scoperto il loro nuovo marchio terroristico, si sono piuttosto arrabbiati. Essere schiaffeggiati con la parola "terrorista" non è quello che si aspettavano e ha provocato una rapida risposta da parte dei cyberattaccanti. Si voltarono verso la rete oscura e pubblicarono un lungo lamento riguardo alla questione. Parte della loro dichiarazione includeva: " Mr. Lawyer afferma che Donald non è mai stato loro cliente. E dice che stiamo bluffando. Oh, va bene. La prima parte, con le informazioni più innocue, pubblicheremo qui." Il post è terminato con collegamenti a 169 e-mail, che presumibilmente erano una piccola parte della "biancheria sporca" che affermavano di avere sul presidente degli Stati Uniti.

Inoltre, gli hacker hanno continuato ad aggiornare le parti interessate tramite i loro post sul Web oscuri. In un recente post di questo tipo, hanno affermato che "Le persone interessate ci hanno contattato e hanno accettato di acquistare tutti i dati sul Presidente degli Stati Uniti, che abbiamo accumulato durante l'intero periodo della nostra attività". Continuarono a dire quanto fossero "molto soddisfatti dell'accordo " ma non condividevano i dettagli. Ciò ha portato molti a credere che si trattasse di un grosso stratagemma, che gli esperti hanno poi confermato come un dato di fatto.

Ciò che ha dato ulteriore credito alla teoria della bufala è stato il fatto che le 169 e-mail condivise dagli hacker come "prova" della sporcizia che hanno su Trump, sono state per lo meno ritenute insufficienti. Le e-mail sembravano non contenere nulla che potesse essere classificato come "sporco". Inoltre, sembrava che qualcuno avesse sfogliato gli archivi cercando la parola "briscola" e poi condiviso tutto ciò che conteneva quella parola specifica. Ciò includeva "trump" che veniva usato come verbo e messaggi riferiti a Trump in terza persona. Secondo gli esperti, il dump dei dati non aveva praticamente nulla che potesse riguardare il Presidente. La finzione che lo fecero, si limitò ad essere usata come leva per il riscatto del pagamento.

Una richiesta di riscatto che raggiunge le stelle.

Gli hacker REvil non hanno posto limiti alla loro avidità. Il riscatto che hanno richiesto ammonta a $ 42 milioni per essere pagato in Bitcoin, o £ 34,6 milioni, e questo non è poco.

Inizialmente, i cyber-estorsori hanno dato allo studio legale una settimana per pagarli la metà - $ 21 milioni in riscatto, ma la società ha ribattuto l'offerta. Hanno concordato di trasferire solo una frazione dell'importo richiesto - solo $ 365.000. Dal momento che la loro richiesta non è stata soddisfatta, i truffatori l'hanno raddoppiata. Se venisse pagato, sarebbe il più grande riscatto mai dato ai cyber aggressori.

Gli attaccanti REvil tendono a pubblicare le loro dichiarazioni sul web oscuro. Usano i forum lì per indovinare tutti sulle loro minacce, pensieri e azioni. I truffatori hanno rubato contratti, accordi di non divulgazione (NDA), indirizzi e-mail, numeri di telefono, corrispondenza personale, diritti musicali e così via, dallo studio legale di New York. È su uno di questi forum che i criminali informatici hanno offerto la prova del loro hack, perdendo file privati su di esso.

Per presumibilmente esercitare pressioni sullo studio legale affinché pagasse, gli aggressori hanno rilasciato alcuni dei dati rubati sulla rete oscura. Hanno condiviso le immagini di "un contratto per il tour" Madame X "2019-20 di Madonna con Live Nation" su un forum web oscuro. Inoltre, hanno pubblicato 2,4 GB di dati contenenti documenti legali di Lady Gaga - contratti di concerti, apparizioni televisive e merchandising.

Fig.2
Parte del recente contratto del tour Madame X di Madonna, REvil ha rubato tramite l'hacking. Fonte: dailymail.co.uk

Dopo quelle fughe arrivò la minaccia che il Presidente fosse il prossimo nella lista.

"La prossima persona che pubblicheremo sarà Donald Trump. C'è una gara elettorale in corso e abbiamo trovato una tonnellata di panni sporchi in tempo. Mr. Trump, se vuoi rimanere presidente, dai un colpetto ai ragazzi, altrimenti potresti dimenticare questa ambizione per sempre. E per i tuoi elettori, possiamo farti sapere che dopo tale pubblicazione, non vorrai certo vederlo come presidente. Bene, lasciamo fuori i dettagli. Il termine è di una settimana. "

Come già affermato, gli esperti hanno ritenuto falsa l'affermazione secondo cui Donald Trump era un cliente dell'azienda. È ancora importante notare che anche se i cyberattaccanti potrebbero non avere del terrore reale su Donald Trump, hanno molte informazioni riservate e private su una serie di celebrità.

Gli esperti suggeriscono che l'unico modo per i criminali di ottenere un profitto è quello di mettere all'asta ciò che sono riusciti a rubare. E hanno già iniziato a farlo. Annunciarono che il 25 maggio avrebbero messo all'asta i dati relativi a Madonna, un cliente confermato dello studio legale hackerato. Il prezzo di partenza sarebbe di un milione di dollari.

Non si può dire quanti soldi i cybercrook possono guadagnare dai dati che hanno rubato. Dopo il loro hack, gli esperti hanno affermato che REvil si è sbarazzato di 756 GB di dati.

Un po 'di più su REvil.

Il noto gruppo di hacker REvil, presumibilmente deriva dall'Europa dell'Est. Se il nome suona un campanello, è perché c'è un famigerato ransomware con lo stesso nome, che ha tormentato gli utenti web per un po '. REvil, noto anche come Sodinokibi, è una formidabile minaccia ransomware, scoperta il 17 aprile 2019.

In genere l'infezione viene distribuita tramite installer software backdoor, tecniche di scansione e exploit, server RDP e kit di exploit.

Non appena il ransomware penetra nel tuo sistema, la sua programmazione si attiva. Il malware crittografa tutto.

Per evitare potenziali conflitti di risorse che potrebbero impedire al ransomware di cancellare o crittografare i file, REvil termina i processi nella lista nera. Elimina anche le copie shadow, garantendo che il suo sistema di destinazione non possa ripristinare ciò che è stato bloccato ed eliminato passando al suo backup. Per finire, disabilita anche la modalità di recupero.

Al termine della crittografia, ti lascia una nota di riscatto. Puoi trovarlo sul tuo desktop e in ogni cartella che contiene file crittografati. Tende ad essere un file ' txt ' chiamato ' HOW-TO-DECRYPT.txt .' Di seguito, puoi vedere un esempio di una nota di riscatto REvil.

Fig.3
Una nota di riscatto REvil. Fonte: Secureworks

Non devi cercare oltre sul tuo desktop, per rendersi conto che sei nei guai. Non solo perché REvil ti lascia la nota di riscatto lì, ma anche perché cambia lo sfondo del desktop. Per indurti nel tuo calvario, ti dà una nuova immagine. Non è niente di speciale, ma piuttosto il contrario. Di seguito puoi vedere un esempio.

Fig.4
Esempio di sfondo del desktop dopo la crittografia. Fonte: Secureworks

La nota di riscatto contiene istruzioni su ciò che i cyberattaccanti si aspettano che tu faccia. Vogliono che tu vada a un URL univoco se vuoi decrittografare i tuoi dati. Se lo apri, quell'URL ti porta in un sito controllato dagli aggressori, che ti mostra una chiave di pagamento di riscatto e un modulo di estensione. Gli estorsori si aspettano che tu fornisca la chiave e il nome dell'estensione, che puoi trovare nella tua nota di riscatto.

Fig.5
Chiave di pagamento del riscatto e modulo di estensione. Fonte: Secureworks

Dopo averlo fatto (inserisci le tue informazioni uniche), ti dicono l'importo esatto del riscatto che vogliono che tu paghi. È quasi sempre esclusivamente in Bitcoin. Di seguito puoi trovare un esempio di una richiesta di pagamento e le istruzioni da seguire.

Fig.6
Istruzioni e dettagli sul pagamento del riscatto. Fonte: Secureworks

I rapitori di dati promettono che se fai tutto ciò che ti chiedono, riuscirai a riprendere il controllo dei tuoi dati. Presumibilmente, dopo il pagamento, ti inviano una chiave di decrittazione, che sblocca tutto ciò che avevano bloccato. Nel tentativo di guadagnare la tua fiducia, offrono di decrittografare tre dei tuoi file gratuitamente e di scegliere tra i file ' png ,' ' jpg ,' e ' gif '.

Fig.7
Offerta di decodifica di prova. Fonte: Secureworks

Rispettare i consigli degli esperti e NON cadere per queste bugie. Ricorda, hai a che fare con criminali informatici. Le persone che si sono infiltrate nel tuo sistema lo hanno corrotto. Non puoi fidarti di una parola che dicono. Non cadere nella rete di bugie che girano e segui le loro istruzioni. Non pagare il riscatto! Non sprecare la tua energia e denaro nel trattare con queste persone. Non vale la pena.

Entro il Kole
May 28, 2020
Ransomware
Italiano
May 28, 2020
Ransomware

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

4 days fa

Rilevamento malware Trojan Al11

11 months fa

Pinaview è un'app adware completa

10 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.