REvil Cyber Crime Group slår kjendis advokatfirma - stiller av med en mengde privat informasjon
REvil-nettkriminalitetsgruppen utførte et så knallhardt angrep at den amerikanske regjeringen merket dem som terrorister. De beryktede hackerne målrettet et advokatfirma i New York - Grubman Shire Meiselas & Sacks. Det i seg selv er ikke noe som er verdig terroristmerket. Det som imidlertid gjør at dette cyberangrepet skiller seg ut er det målrettede firmaets klientliste og den obskøne løsepengerforespørselen.
REvil-gruppen smittet NY-firmaet med ransomware, krypterte systemene og stjal en svimlende mengde private data fra en imponerende klientliste. Angriperne slettet eller kryptert alle sikkerhetskopiene. Dermed forlater dem ikke noe alternativ, men etterlevelse. Den eneste tilsynelatende måten for advokatfirmaet å gjenvinne kontrollen med dataene sine er å betale løsepenger, få en unik dekrypteringsnøkkel og låse opp de låste filene.
Table of Contents
En imponerende klientliste.
Advokatfirmaet i New York styrket en imponerende liste over klienter. Blant navnene finner du Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. Og det riper bare på overflaten.
REvil la ut et skjermbilde av filer med navn på selskapets kunder. Kilde: Dailymail.co.uk
Cyberangriperne hevdet også at Donald Trump, den amerikanske presidenten, var blant firmaets klienter og at de nå har 'skitt' på ham. Imidlertid er kravet motbevist.
Den mindre detaljene hindret ikke nettkriminelle i å fortsette sin sjanse og truet med å utsette sensitiv informasjon om Trump.
Angriperne truet med å løslate alle dataene de stjal med mindre de fikk utbetalt et uanstendig beløp penger i løsepenger. Med innsatsen så høy, naturlig nok, ble FBI involvert. Byrået fikk saken og kunngjorde at "å forhandle med eller betale løsepenger til terrorister er et brudd på føderal straffelov."
REvil Få oppmerksomhet fra FBI.
Så snart gruppens representanter fant ut om deres nye terroristmerke, ble de ganske opprørte. Å bli smurt med ordet 'terrorist' er ikke det de forventet, og det fikk en rask respons fra cyberangriperne. De snudde seg mot det mørke nettet og la ut en lang løp om saken. En del av uttalelsen deres inkluderte, " Mr. Lawyer sier at Donald aldri har vært deres klient. Og han sier at vi bløffer. Innlegget avsluttet med lenker til 169 e-postmeldinger, som visstnok var en liten del av 'skittentøyet' de hevdet å ha på den amerikanske presidenten.
Videre fortsatte hackerne å oppdatere interesserte parter via sine mørke nettinnlegg. I et nylig slikt innlegg hevdet de at "Interesserte tok kontakt med oss og ble enige om å kjøpe alle dataene om den amerikanske presidenten, som vi har samlet i hele tiden av vår aktivitet." De fortsatte med å si hvor "veldig fornøyd med avtalen " de var, men delte ikke detaljer. Det fikk mange til å tro at det hele var en eneste stor ruse, som eksperter deretter bekreftet som faktum.
Det som ga glede-teorien ytterligere tro, var det faktum at de 169 e-postene hackerne delte som 'bevis' på skitten de har på Trump, i det minste ble funnet manglende. E-postmeldingene så ut til å inneholde ingenting som kan klassifiseres som 'skitt'. Dessuten så det ut som om noen bla gjennom arkiver ved å søke på ordet 'trumf' og deretter delte alt som inneholdt det spesifikke ordet. Det inkluderte 'trumf' å bli brukt som et verb og meldinger som refererer til Trump i tredjeperson. Ifølge eksperter hadde datadumpen lite til ingenting som i det hele tatt kunne forholde seg til presidenten. Uansett som de gjorde, ble bare brukt som løftestang for løsepengene for å få betalt.
En løsepengerforespørsel som rekker for stjernene.
REvil-hackerne satte ikke grense for grådighet. Innløsningen de ba om utgjør 42 millioner dollar for å få betalt i Bitcoin, eller 34,6 millioner pund, og det er ikke noe lite beløp.
Opprinnelig ga cyber-utpresserne advokatfirmaet en uke til å betale dem halvparten av det - 21 millioner dollar i løsepenger, men firmaet motarbeidet tilbudet. De ble enige om å overføre bare en brøkdel av det forespurte beløpet - bare $ 365 000. Siden kravet deres ikke ble oppfylt, doblet kjeltringene det. Hvis det skulle bli betalt, ville det bli den største løsepengene som gis til cyberangrepere.
REvil-angriperne har en tendens til å gi uttalelser på det mørke nettet. De bruker fora der for å peke alle inn på sine trusler, tanker og handlinger. Crooks stjal kontrakter, ikke-avsløringsavtaler (NDA), e-postadresser, telefonnumre, personlig korrespondanse, musikkrettigheter og så videre fra advokatfirmaet i New York. Det er på et slikt forum cyberkriminelle ga bevis på hacket deres, ved å lekker private filer på det.
For antagelig å presse advokatfirmaet til å betale opp, ga angriperne ut noen av de stjålne dataene på det mørke nettet. De delte bilder av "en kontrakt for Madonnas 2019-20 'Madame X' turné med Live Nation," på et mørkt nettforum. De la også ut 2,4 GB data som inneholder juridiske dokumenter om Lady Gaga - konsertkontrakter, TV-opptredener og merchandising.
En del av Madonnas nylige Madame X-turnékontrakt, stjal REvil via hackingen. Kilde: dailymail.co.uk
Etter disse lekkasjene kom trusselen om at presidenten er neste på listen.
"Den neste personen vi skal publisere er Donald Trump. Det pågår et valgløp, og vi fant massevis av skittentøy på gang. Mr. Trump, hvis du vil være president, trekker en skarp pinne på gutta, Ellers kan du glemme denne ambisjonen for alltid. Og til dere velgere, kan vi gi deg beskjed om at etter en slik publisering, vil du absolutt ikke se ham som president. Vel, la oss utelate detaljene. Fristen er en uke. "
Som allerede nevnt, fant eksperter påstanden om at Donald Trump var en klient hos firmaet for å være falsk. Det er fremdeles viktig å merke seg at selv om cyberangriperne kanskje ikke har skitt på Donald Trump, har de mye sensitiv, privat informasjon om en rekke kjendiser.
Eksperter antyder at den eneste måten for kriminelle å oppnå overskudd på, er å auksjonere bort det de klarte å stjele. Og de har allerede begynt å gjøre det. De kunngjorde at de 25. mai ville auksjonere dataene relatert til Madonna - en bekreftet klient til det hacket advokatfirmaet. Startprisen ville være en million dollar.
Det er ingen som forteller hvor mye penger nettkrokerne kan tjene på dataene de stjal. Etter hacket deres, hevdet eksperter at REvil gikk ut med 756 GB data.
Litt mer om REvil.
Den beryktede hackergruppen REvil stammer angivelig fra Øst-Europa. Hvis navnet ringer på en bjelle, skyldes det at det er beryktet ransomware med samme navn, som har plaget nettbrukere en stund. REvil, også kjent som Sodinokibi, er en formidabel ransomware-trussel, oppdaget 17. april 2019.
Infeksjonen blir vanligvis distribuert via bakdøra programvareinstallatører, skanne-og-utnytte teknikker, RDP-servere og utnytte kits.
Så snart ransomware glir inn i systemet ditt, aktiveres programmeringen. Den skadelige programvaren krypterer alt.
For å forhindre potensielle ressurskonflikter som vil komme i veien for ransomware til å tørke eller kryptere filer, avslutter REvil svarteliste prosesser. Det sletter også skyggekopier, og sikrer at det målrettede systemet ikke kan gjenopprette det som ble låst og slettet ved å gå til sikkerhetskopien. For å toppe det hele, deaktiverer det også gjenopprettingsmodus.
Etter at krypteringen er fullført, etterlater det deg en løsepenger. Du finner den på skrivebordet og i hver mappe som inneholder krypterte filer. Det har en tendens til å være en ' txt ' -fil som heter ' HVORDAN TIL DECRYPT.txt .' Nedenfor kan du se et eksempel på en REvil løsepenger.
En REvil løsepenger. Kilde: Secureworks
Du trenger ikke se lenger enn på skrivebordet ditt for å innse at du har problemer. Ikke bare fordi REvil etterlater deg løsepengene der, men også fordi den endrer skrivebordsbakgrunnen. For å peke deg inn i prøvelsen din, gir det deg et nytt bilde. Det er ikke noe fancy, men tvert imot. Du kan se et eksempel nedenfor.
Eksempel på skrivebordsbakgrunn etter kryptering. Kilde: Secureworks
Løsningsnotatet inneholder instruksjoner om hva cyberangriperne forventer at du skal gjøre. De vil at du skal gå til en unik URL hvis du skal dekryptere dataene dine. Hvis du åpner den, tar den nettadressen deg til et angrepskontrollert nettsted, som viser deg en løsepenge-betalingsnøkkel og et utvidelsesskjema. Utpresserne forventer at du oppgir nøkkel- og utvidelsesnavnet, som du kan finne i løseposten.
Løsningsbetalingsnøkkel og utvidelsesskjema. Kilde: Secureworks
Etter at du har gjort det (legg inn din unike informasjon), forteller de deg nøyaktig løsepenger du vil at du skal betale. Det er nesten alltid utelukkende i Bitcoin. Nedenfor kan du finne et eksempel på en betalingsanmodning og instruksjoner du skal følge.
Instruksjoner og løsepengeinformasjon. Kilde: Secureworks
Data kidnapperne lover at hvis du gjør alt de ber deg, vil du klare å gjenvinne kontrollen over dataene dine. Angivelig, etter betaling, sender de deg en dekrypteringsnøkkel, som låser opp alt de hadde låst. I et forsøk på å tjene din tillit tilbyr de å dekryptere tre av filene dine gratis og gi deg et valg mellom ' png ', ' jpg ' og ' gif ' filer.
Prøvedekrypteringstilbud. Kilde: Secureworks
Vær oppmerksom på eksperters råd og faller IKKE for disse løgnene. Husk at du har å gjøre med nettkriminelle. Folk som infiltrerte systemet ditt, ødela det. Du kan ikke stole på et ord de sier. Ikke fall inn i løgnens nett, og følg instruksjonene deres. Ikke betal løsepenger! Ikke kast bort energien og pengene dine på å håndtere disse menneskene. Det er ikke verdt tiden din.
