„REvil“ elektroninių nusikaltimų grupė streikuoja įžymybių advokatų kontoroje - pradeda veiklą su daugybe asmeninės informacijos
Kibernetinių nusikaltimų grupuotė „REvil“ surengė tokį žiaurų išpuolį, kad Amerikos vyriausybė juos pavadino teroristais. Garsieji įsilaužėliai nusitaikė į Niujorke įsikūrusią advokatų kontorą - „Grubman Shire Meiselas & Sacks“. Tai savaime nėra nieko vertas terorizmo ženklas. Tačiau tai, kas išskiria šią kibernetinę ataką, yra tikslinės įmonės klientų sąrašas ir nepadorus išpirkos prašymas.
Grupė „REvil“ užkrėtė NY firmą išpirkos programomis, užšifravo jos sistemas ir pavogė stulbinantį kiekį privačių duomenų iš įspūdingo klientų sąrašo. Užpuolikai ištrynė arba užšifravo visas savo atsargines kopijas. Taigi paliekant jiems ne išeitį, o atitikimą. Vienintelis akivaizdus būdas advokatų kontorai atgauti savo duomenų kontrolę yra sumokėti išpirką, gauti unikalų dešifravimo raktą ir atrakinti užrakintus failus.
Table of Contents
Įspūdingas klientų sąrašas.
Niujorko advokatų kontora sustiprino įspūdingą klientų sąrašą. Tarp vardų rasite Lady Gagą, LeBroną Jamesą, Mariahą Carey'ą, Mike'ą Tysoną, Eltoną Johną, Coliną Kaepernicką, Nicki Minaj, Sloane Stephens, Bruce'ą Springsteeną, Madonną, Robertą De Niro, Lizzo, Sofiją Vergara. Ir tai tik subraižo paviršių.
REvil paskelbė failų ekrano kopiją, pavadintą įmonės klientų vardais. Šaltinis: Dailymail.co.uk
Kibernetiniai užpuolikai taip pat tvirtino, kad JAV prezidentas Donaldas Trumpas yra vienas iš firmos klientų ir kad jie dabar yra ant jo nešvarūs. Tačiau šis teiginys buvo paneigtas.
Ši nedidelė detalė nesustabdė kibernetinių nusikaltėlių tęsti savo pokalbius ir grasinti paviešinti neskelbtiną informaciją apie Trumpą.
Užpuolikai pagrasino paviešinti visus pavogtus duomenis, nebent jie už tai sumokės nepadorią pinigų sumą išpirkos būdu. Natūralu, kad su dideliais statymais FTB įsitraukė. Biuras gavo bylą ir paskelbė, kad „ derybos su teroristais ar išpirkos mokėjimas teroristams yra federalinio baudžiamojo įstatymo pažeidimas“.
Revil FTB dėmesys.
Kai tik grupės atstovai sužinojo apie savo naują teroristinį prekės ženklą, jie gana supyko. Jie nesiskundė žodžiu „teroristas“ ir tai paskatino greitai reaguoti iš kibernetinių užpuolikų. Jie kreipėsi į tamsią internetinę svetainę ir paskelbė ilgą įsakymą dėl šio klausimo. Dalyje jų pareiškimo buvo: " Ponas Teisininkas sako, kad Donaldas niekada nebuvo jų klientas. Ir jis sako, kad mes blefuojame. O, gerai. Pirmąją dalį su nekenksmingiausia informacija mes paskelbsime čia". Šis įrašas baigėsi nuorodomis į 169 el. Laiškus, kurie, kaip spėjama, buvo nedidelė „nešvarių skalbinių“, kuriuos jie teigė turintys JAV prezidentui, dalis.
Be to, įsilaužėliai ir toliau atnaujino suinteresuotąsias šalis per tamsius žiniatinklio įrašus. Viename neseniai paskelbtame tokiame pranešime jie teigė, kad „suinteresuoti žmonės susisiekė su mumis ir sutiko nusipirkti visus duomenis apie JAV prezidentą, kuriuos turime sukaupę per visą savo veiklos laiką“. Jie tęsė sakydami, kokie jie „labai patenkinti susitarimu “, tačiau nesidalijo specifika. Daugelis paskatino patikėti, kad visa tai buvo viena didelė kliūtis, kurią ekspertai patvirtino faktu.
Sukčiavimo teorijai suteikė daugiau patikėjimo tai, kad 169 el. Laiškai, kuriuose įsilaužėliai pasidalino kaip „įrodymą“ apie D. Trumpo nešvarumus, bent jau buvo rasti norintys. Panašu, kad el. Laiškuose nėra nieko, kas galėtų būti klasifikuojamas kaip „purvas“. Be to, atrodė, kad kažkas naršė archyvuose ieškodamas žodžio „koziris“ ir paskui pasidalino viskuo, kas turėjo tą konkretų žodį. Tai apėmė „kozirio“ pripratimą kaip veiksmažodį ir pranešimus, susijusius su Trumpu trečiajame asmenyje. Pasak ekspertų, duomenų šaltinis turėjo beveik nieko, kas išvis galėtų būti susijęs su prezidentu. Jie apsimetė, kad pasinaudojo išpirkos svertu.
„Ransom“ prašymas, pasiekiantis žvaigždes.
„REvil“ įsilaužėliai nepadarė savo godumo ribos. Jų prašoma išpirka siekia 42 milijonus dolerių, kad būtų galima sumokėti „Bitcoin“, arba 34,6 milijono svarų sterlingų, ir tai nėra maža suma.
Iš pradžių kibernetiniai turto prievartautojai davė advokatų kontorai per savaitę sumokėti jiems pusę to - 21 mln. Jie sutiko pervesti tik dalelę prašomos sumos - tik 365 000 USD. Kadangi jų poreikis nebuvo patenkintas, sukčiai ją padvigubino. Jei už tai būtų sumokėta, tai taptų didžiausia išpirka, suteikta kibernetiniams užpuolikams.
„REvil“ užpuolikai yra linkę skelbti savo pareiškimus tamsiajame internete. Jie naudojasi ten esančiais forumais, kad suvokia visus apie jų grėsmes, mintis ir veiksmus. Sukčiai iš Niujorko advokatų kontoros pavogė sutartis, neatskleidimo susitarimus (NDA), el. Pašto adresus, telefonų numerius, asmeninę korespondenciją, teises į muziką ir pan. Viename tokių forumų elektroniniai nusikaltėliai pasiūlė savo įsilaužimo įrodymus, išplatindami privačius failus.
Manoma, kad spaudimą advokatų kontorai sumokėti, užpuolikai tam tikroje žiniatinklyje paviešino dalį pavogtų duomenų. Tamsiame interneto forume jie pasidalino vaizdais iš „Madonos 2019–2020 m.„ Madame X “turo sutarties su„ Live Nation ““ . Jie taip pat paskelbė 2,4 GB duomenų, kuriuose yra Lady Gagos teisiniai dokumentai - koncertų sutartys, pasirodymai televizijoje ir prekyba.
Dalis Madonos neseniai įvykusios „Madame X“ turo sutarties, REvilis pavogė per įsilaužimą. Šaltinis: dailymail.co.uk
Po šių nutekėjimų iškilo grėsmė, kad prezidentas yra kitas sąraše.
Kitas asmuo, kurį mes skelbsime, yra Donaldas Trumpas. Vyksta rinkimų varžybos ir laiku radome toną nešvarių skalbinių. kitaip jūs galite pamiršti šį užmojį visam laikui. Ir jums, rinkėjams, galime pranešti, kad po tokio paskelbimo tikrai nenorite jo matyti kaip prezidento. Na, palikime detales. Galutinis terminas yra viena savaitė. "
Kaip jau minėta, teiginys, kad Donaldas Trumpas buvo įmonės klientas, ekspertai pripažino melagingu. Vis dar svarbu pažymėti, kad net jei kibernetiniai užpuolikai Donaldo Trumpo tikruoju nešvarumu neturi, jie turi daug slaptos ir privačios informacijos apie daugybę įžymybių.
Ekspertai siūlo, kad vienintelis būdas nusikaltėliams užsidirbti pelno yra aukcionai to, ką jiems pavyko pavogti. Ir jie jau pradėjo tai daryti. Jie paskelbė, kad gegužės 25 d. Aukcione parduos duomenis apie Madonną - patvirtintą nulaužtos advokatų kontoros klientą. Pradinė kaina būtų milijonas dolerių.
Neįmanoma pasakyti, kiek pinigų kibernetinės bangos gali uždirbti iš pavogtų duomenų. Po jų nulaužimo ekspertai teigė, kad „REvil“ sukūrė 756 GB duomenų.
Šiek tiek daugiau apie REvil.
Tariamai garsioji įsilaužėlių grupė REvil, tariamai, kilusi iš Rytų Europos. Jei vardas skamba varpu, taip yra todėl, kad ten yra liūdnai pagarsėjusi programinė įranga tuo pačiu pavadinimu, kuri kurį laiką vargina interneto vartotojus. „REvil“, dar žinomas kaip „Sodinokibi“, yra didžiulė išpirkos programinė įranga, aptinkama 2019 m. Balandžio 17 d.
Infekcija paprastai išplatinama per programinės įrangos, kuriai netaikoma pagalba, diegimo programas, nuskaitymo ir panaudojimo metodus, KPP serverius ir išnaudojimo rinkinius.
Kai tik išpirkos programa įsiskverbia į jūsų sistemą, jos programavimas suaktyvėja. Kenkėjiška programa užšifruoja viską.
Siekdamas užkirsti kelią galimiems išteklių konfliktams, kurie galėtų pakenkti išpirkos programoms naikinti ar užšifruoti failus, REvil nutraukia juodųjų sąrašų procesus. Taip pat ištrinamos šešėlinės kopijos, užtikrinant, kad tikslinė sistema negalėtų atkurti to, kas užblokuota ir ištrinta, atsukdami atsarginę kopiją. Be to, jis išjungia atkūrimo režimą.
Užbaigus šifravimą, jums paliekama išpirkos pažyma. Jį galite rasti darbalaukyje ir kiekviename aplanke, kuriame yra užšifruoti failai. Tai paprastai yra „ txt “ failas, vadinamas „ KAIP DECRYPT.txt “. Žemiau galite pamatyti REvil išpirkos rašto pavyzdį.
REvil išpirkos raštas. Šaltinis: „Secureworks“
Jei norite suvokti, kad susiduriate su sunkumais, jums nereikia ieškoti daugiau nei darbalaukyje. Ne tik todėl, kad „REvil“ palieka jums išpirkos raštelį, bet ir todėl, kad tai keičia jūsų darbalaukio foną. Norėdami įkalbėti jus apie savo išbandymą, jis suteiks jums naują įvaizdį. Tai nieko neįdomu, o priešingai. Žemiau galite pamatyti pavyzdį.
Darbastalio fono po šifravimo pavyzdys. Šaltinis: „Secureworks“
Išpirkos rašte pateiktos instrukcijos, ko tikisi kibernetiniai užpuolikai. Jie nori, kad jūs eitumėte į unikalų URL, jei norite iššifruoti savo duomenis. Jei atidarote, tas URL nukelia į užpuoliko kontroliuojamą svetainę, kurioje rodomas išpirkos mokėjimo raktas ir pratęsimo forma. Prievartautojai tikisi, kad pateiksite rakto ir plėtinio pavadinimą, kurį galite rasti išpirkos rašte.
„Ransom“ mokėjimo raktas ir pratęsimo forma. Šaltinis: „Secureworks“
Kai tai padarysite (įveskite savo unikalią informaciją), jie jums pasakys tikslią išpirkos sumą, kurią jie nori, kad jūs sumokėtumėte. Tai beveik visada išimtinai „Bitcoin“. Žemiau rasite mokėjimo užklausos pavyzdį ir instrukcijas, kurių reikia laikytis.
Instrukcijos ir išsimokėjimo išmoka. Šaltinis: „Secureworks“
Duomenų pagrobėjai pažada, kad padarydami viską, ko jie iš jūsų prašo, jums pavyks atgauti savo duomenų kontrolę. Spėjama, kad sumokėję jie atsiųs iššifravimo raktą, kuriame atrakins viską, ką buvo užrakinę. Siekdami užsitarnauti pasitikėjimą, jie siūlo nemokamai iššifruoti tris jūsų failus ir suteikti jums galimybę pasirinkti tarp png , jpg ir gif failų.
Bandomasis iššifravimo pasiūlymas. Šaltinis: „Secureworks“
Atkreipkite dėmesį į ekspertų patarimus ir NENORITE už šiuos melus. Atminkite, kad jūs turite reikalų su elektroniniais nusikaltėliais. Žmonės, kurie įsiskverbė į jūsų sistemą, tada ją sugadino. Negalite pasitikėti jų pasakytu žodžiu. Nepatenkite į melo, kurį jie sukasi, tinklą ir vykdykite jų nurodymus. Nemokėkite išpirkos! Nešvaistykite savo energijos ir pinigų, susijusių su šiais žmonėmis. Tai nėra verta jūsų laiko.
