REvil Cyber Crime Group slaat advocatenkantoor van beroemdheden aan - gaat van start met een hoop privégegevens

De cybercriminaliteitsgroep REvil heeft zo'n brutale aanval uitgevoerd dat de Amerikaanse regering ze bestempelde als terroristen. De beruchte hackers waren het doelwit van een in New York gevestigd advocatenkantoor - Grubman Shire Meiselas & Sacks. Dat is op zichzelf niets dat het terroristische merk waardig is. Wat deze cyberaanval echter onderscheidt, is de klantenlijst van het doelbedrijf en het obscene losgeldverzoek.

De REvil-groep infecteerde het NY-bedrijf met ransomware, versleutelde de systemen en stal een duizelingwekkende hoeveelheid privégegevens van een indrukwekkende klantenlijst. De aanvallers hebben al hun back-ups verwijderd of versleuteld. Dus laat ze geen andere optie dan naleving. De enige voor de hand liggende manier voor het advocatenkantoor om de controle over zijn gegevens terug te krijgen, is het losgeld te betalen, een unieke decoderingssleutel te krijgen en de vergrendelde bestanden te ontgrendelen.

Een indrukwekkende klantenlijst.

Het advocatenkantoor in New York heeft een indrukwekkend klantenbestand opgebouwd. Onder de namen vind je Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. En dat krast slechts het oppervlak.

Figuur 1
REvil plaatste een screenshot van bestanden met de naam van de klanten van het bedrijf. Bron: Dailymail.co.uk

De cyberaanvallers beweerden ook dat Donald Trump, de Amerikaanse president, een van de klanten van het bedrijf was en dat ze nu 'vuil' op hem hebben. Deze bewering is echter weerlegd.

Dat kleine detail weerhield de cybercriminelen er niet van om hun schertsvertoning voort te zetten en te dreigen gevoelige informatie over Trump openbaar te maken.

De aanvallers dreigden alle gegevens die ze hadden gestolen vrij te geven, tenzij ze een obsceen bedrag aan losgeld kregen betaald. Met zo'n hoge inzet raakte de FBI natuurlijk betrokken. Het bureau kreeg de zaak en kondigde aan dat " onderhandelen met of het betalen van losgeld aan terroristen een schending is van het federale strafrecht".

REvil De aandacht van de FBI trekken.

Zodra de vertegenwoordigers van de groep hun nieuwe terroristische merknaam ontdekten, raakten ze behoorlijk van slag. Geslagen worden met het woord 'terrorist' is niet wat ze verwachtten, en het zorgde voor een snelle reactie van de cyberaanvallers. Ze wendden zich tot het dark web en schreven lang over de kwestie. Een deel van hun verklaring omvatte: 'De heer Advocaat zegt dat Donald nooit hun cliënt is geweest. En hij zegt dat we bluffen. Nou ja. Het eerste deel, met de meest onschadelijke informatie, zullen we hier posten.' De post eindigde met links naar 169 e-mails, die zogenaamd een klein onderdeel waren van de 'vuile was' die ze beweerden te hebben over de Amerikaanse president.

Bovendien bleven de hackers geïnteresseerde partijen updaten via hun darkweb-berichten. In een recente dergelijke post beweerden ze dat "geïnteresseerde mensen contact met ons opnamen en ermee instemden alle gegevens over de Amerikaanse president te kopen, die we gedurende de hele tijd van onze activiteit hebben verzameld." Ze gingen door met te zeggen hoe "zeer tevreden met de deal " ze waren, maar deelden ze niet. Dat bracht velen ertoe te geloven dat het allemaal één grote list was, wat experts vervolgens als feit bevestigden.

Wat de hoax-theorie verder geloofde, was het feit dat de 169 e-mails die de hackers deelden als 'bewijs' van het vuil dat ze op Trump hebben, op zijn minst gebrekkig werden gevonden. De e-mails bleken niets te bevatten dat als 'vuil' kan worden geclassificeerd. Bovendien leek het alsof iemand door archieven bladerde door het woord 'troef' te doorzoeken en vervolgens alles te delen dat dat specifieke woord bevatte. Dat omvatte 'trump' wennen als werkwoord en berichten die verwijzen naar Trump in de derde persoon. Volgens experts had de datadump weinig tot niets dat verband kon houden met de president. De pretentie die ze deden, werd slechts gebruikt als hefboom om het losgeld te laten betalen.

Een losgeldverzoek dat de sterren bereikt.

De REvil-hackers hebben geen limiet gesteld aan hun hebzucht. Het gevraagde losgeld bedraagt 42 miljoen dollar om betaald te worden in bitcoin, of 34,6 miljoen pond, en dat is geen klein bedrag.

Aanvankelijk gaven de cyberafpersers het advocatenkantoor een week de tijd om hen de helft daarvan te betalen - $ 21 miljoen aan losgeld, maar het bedrijf kwam in opstand tegen het aanbod. Ze kwamen overeen om slechts een fractie van het gevraagde bedrag over te maken - slechts $ 365.000. Omdat niet aan hun vraag werd voldaan, verdubbelden de boeven het. Als het zou worden betaald, zou het het grootste losgeld ooit worden dat aan cyberaanvallers wordt gegeven.

De aanvallers van REvil hebben de neiging hun uitspraken op het dark web te doen. Ze gebruiken daar forums om iedereen op de hoogte te brengen van hun bedreigingen, gedachten en acties. De oplichters stalen contracten, geheimhoudingsovereenkomsten (NDA's), e-mailadressen, telefoonnummers, persoonlijke correspondentie, muziekrechten, enzovoort van het advocatenkantoor in New York. Het is op zo'n forum dat de cybercriminelen het bewijs van hun hack hebben geleverd door er privébestanden op te lekken.

Om het advocatenkantoor vermoedelijk onder druk te zetten om te betalen, hebben de aanvallers enkele van de gestolen gegevens op het dark web vrijgegeven. Ze deelden afbeeldingen van 'een contract voor Madonna's 2019-20' Madame X'-tour met Live Nation ' op een darkwebforum . Ook plaatsten ze 2,4 GB aan gegevens met juridische documenten van Lady Gaga - concertcontracten, tv-optredens en merchandising.

Figuur 2
Als onderdeel van Madonna's recente Madame X-tourcontract stal REvil via de hack. Bron: dailymail.co.uk

Na die lekken kwam het gevaar dat de president de volgende op de lijst staat.

"De volgende persoon die we zullen publiceren is Donald Trump. Er is een verkiezingsrace aan de gang en we hebben op tijd een hoop vuile was gevonden. Mr. Trump, als je president wilt blijven, steek dan een scherpe stok naar de jongens, anders vergeet u deze ambitie voor altijd. En aan u kiezers, we kunnen u laten weten dat u hem na zo'n publicatie zeker niet als president wilt zien. Laten we de details weglaten. De deadline is een week. "

Zoals eerder vermeld, vonden experts de bewering dat Donald Trump een klant van het bedrijf was, onjuist. Het is nog steeds belangrijk op te merken dat zelfs als de cyberaanvallers Donald Trump niet echt vuil hebben, ze wel veel gevoelige, persoonlijke informatie hebben over een hele reeks beroemdheden.

Experts suggereren dat de enige manier waarop criminelen winst kunnen maken, is veilen wat ze hebben weten te stelen. En dat zijn ze al begonnen. Ze kondigden aan dat ze op 25 mei de gegevens over Madonna - een bevestigde klant van het gehackte advocatenkantoor - zouden veilen. De startprijs zou een miljoen dollar zijn.

Het valt niet te zeggen hoeveel geld de cybercriminelen kunnen verdienen aan de gegevens die ze hebben gestolen. Na hun hack beweerden experts dat REvil op weg was met 756 GB aan gegevens.

Iets meer over REvil.

De beruchte hackergroep REvil zou afkomstig zijn uit Oost-Europa. Als de naam een belletje doet rinkelen, komt dat omdat er beruchte ransomware met dezelfde naam is die webgebruikers al een tijdje teistert. REvil, ook wel bekend als Sodinokibi, is een formidabele ransomware-bedreiging, ontdekt op 17 april 2019.

De infectie wordt meestal verspreid via achterdeur software-installatieprogramma's, scan-en-exploit technieken, RDP-servers en exploit kits.

Zodra de ransomware in uw systeem glijdt, wordt de programmering geactiveerd. De malware versleutelt alles.

Om potentiële bronconflicten te voorkomen die de ransomware in de weg zouden staan om bestanden te wissen of te versleutelen, beëindigt REvil processen op de zwarte lijst. Het verwijdert ook schaduwkopieën, zodat het doelgerichte systeem niet kan herstellen wat is vergrendeld en verwijderd door naar de back-up te gaan. Als klap op de vuurpijl schakelt het ook de herstelmodus uit.

Nadat de codering is voltooid, laat het een losgeldbrief achter. Je vindt het op je bureaublad en in elke map die gecodeerde bestanden bevat. Het heeft de neiging om een 'txt' bestand genaamd zijn 'How-To-DECRYPT.txt.' Hieronder ziet u een voorbeeld van een REvil-losgeldbrief.

Afb.3
Een REvil losgeldbriefje. Bron: Secureworks

U hoeft niet verder te zoeken dan op uw bureaublad om te beseffen dat u in de problemen zit. Niet alleen omdat REvil je daar de losgeldbrief achterlaat, maar ook omdat het je bureaubladachtergrond verandert. Om je in je beproeving te leiden, krijg je een nieuw beeld. Het is niets bijzonders, maar integendeel. Hieronder ziet u een voorbeeld.

Figuur 4
Voorbeeld van een bureaubladachtergrond na codering. Bron: Secureworks

De losgeldbrief bevat instructies over wat de cyberaanvallers van u verwachten. Ze willen dat u naar een unieke URL gaat als u uw gegevens wilt decoderen. Als u het opent, brengt die URL u naar een door een aanvaller beheerde site, die u een betalingssleutel voor losgeld en een extensieformulier toont. De afpersers verwachten dat u de sleutel en de naam van de extensie opgeeft, die u in uw losgeldbrief kunt vinden.

Afb.5
Betalingssleutel voor losgeld en extensieformulier. Bron: Secureworks

Nadat je dat hebt gedaan (voer je unieke gegevens in), vertellen ze je het exacte losgeldbedrag dat ze willen dat je betaalt. Het is bijna altijd exclusief in Bitcoin. Hieronder vindt u een voorbeeld van een betalingsverzoek en te volgen instructies.

Afb.6
Instructies en losgeldgegevens. Bron: Secureworks

De data-ontvoerders beloven dat als je alles doet wat ze van je vragen, je de controle over je data terugkrijgt. Naar verluidt sturen ze je na betaling een decoderingssleutel, die alles ontgrendelt wat ze hadden vergrendeld. In een poging om uw vertrouwen te winnen, bieden ze aan om drie van uw bestanden gratis te decoderen en u de keuze te geven tussen ' png'- ,' jpg'- en ' gif' -bestanden.

Afb.7
Aanbieding voor proefversleuteling. Bron: Secureworks

Let op het advies van experts en val NIET voor deze leugens. Onthoud dat u te maken heeft met cybercriminelen. Mensen die uw systeem hebben geïnfiltreerd, hebben het vervolgens beschadigd. Je kunt een woord dat ze zeggen niet vertrouwen. Val niet in het web van leugens die ze draaien en volg hun instructies. Betaal geen losgeld! Verspil geen energie en geld aan het omgaan met deze mensen. Het is je tijd niet waard.

Tegen Kole
May 28, 2020
Ransomware
Nederlands
May 28, 2020
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.