REvil Cyber Crime Group strajkuje kancelarię celebrytów - ujawnia prywatne informacje

Grupa cyberprzestępcza REvil przeprowadziła tak bezczelny atak, że rząd amerykański nazwał ich terrorystami. Znani hakerzy atakowali nowojorską kancelarię prawniczą - Grubman Shire Meiselas & Sacks. To samo w sobie nie jest godne marki terrorystycznej. Tym, co wyróżnia ten cyberatak, jest lista klientów firmy docelowej i obsceniczne żądanie okupu.

Grupa REvil zainfekowała nowojorską firmę ransomware, zaszyfrowała swoje systemy i ukradła oszałamiającą ilość prywatnych danych z imponującej listy klientów. Atakujący usunęli lub zaszyfrowali wszystkie swoje kopie zapasowe. Dlatego nie pozostawiają im żadnej opcji, tylko zgodność. Jedynym pozornym sposobem odzyskania kontroli nad danymi przez firmę prawniczą jest zapłacenie okupu, uzyskanie unikalnego klucza odszyfrowywania i odblokowanie zablokowanych plików.

Imponująca lista klientów.

Nowojorska kancelaria zwiększyła imponującą listę klientów. Wśród nazwisk znajdują się Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. I to tylko rysuje powierzchnię.

Ryc.1
REvil opublikował zrzut ekranu plików z nazwami klientów firmy. Źródło: Dailymail.co.uk

Cyberatycy twierdzili również, że Donald Trump, prezydent USA, był jednym z klientów firmy i że mają teraz na nim „brud”. Twierdzenie to zostało jednak odrzucone.

Ten drobny szczegół nie powstrzymał cyberprzestępców przed kontynuowaniem ich szarady i grożeniem ujawnieniem poufnych informacji o Trumpie.

Atakujący zagrozili ujawnieniem wszystkich danych, które ukradli, chyba że otrzymają nieprzyzwoitą kwotę okupu. Oczywiście przy tak wysokich stawkach FBI się zaangażowało. Biuro dostało sprawę i ogłosiło, że „ negocjowanie z terrorystami lub płacenie okupu stanowi naruszenie federalnego prawa karnego”.

REvil Zwrócenie uwagi FBI.

Gdy tylko przedstawiciele grupy dowiedzieli się o ich nowej marce terrorystycznej, bardzo się zdenerwowali. Uderzenie słowem „terrorysta” nie jest tym, czego się spodziewali, i spowodowało szybką reakcję cyberataków. Odwrócili się do ciemnej sieci i wydali długi wyrok na ten temat. Część ich oświadczenia zawierała: „ Pan adwokat mówi, że Donald nigdy nie był ich klientem. I mówi, że blefujemy. No cóż. Pierwsza część, z najbardziej nieszkodliwymi informacjami, opublikujemy tutaj”. Post zakończył się linkami do 169 wiadomości e-mail, które podobno stanowiły niewielką część „brudnej bielizny”, którą twierdzili, że mają na prezydenta USA.

Ponadto hakerzy nadal aktualizowali zainteresowane strony za pośrednictwem swoich ciemnych postów internetowych. W jednym z ostatnich postów stwierdzili, że „Zainteresowane osoby skontaktowały się z nami i zgodziły się kupić wszystkie dane dotyczące prezydenta USA, które gromadziliśmy przez cały czas naszej działalności”. Dalej powiedzieli, że byli „bardzo zadowoleni z umowy ”, ale nie podzielili się szczegółami. Doprowadziło to wielu do przekonania, że to wszystko jedna wielka podstęp, którą eksperci potwierdzili jako fakt.

Dalszą wiarygodnością teorii mistyfikacji był fakt, że 169 e-maili, które hakerzy udostępnili jako „dowód” brudu, jaki mieli na Trumpie, przynajmniej okazało się brakiem. E-maile najwyraźniej nie zawierają niczego, co można by zaklasyfikować jako „brud”. Ponadto wyglądało to tak, jakby ktoś przeglądał archiwa, wyszukując słowo „atut”, a następnie udostępniając wszystko, co zawierało to konkretne słowo. Obejmowało to użycie „trumpa” jako czasownika i wiadomości odnoszących się do Trumpa w trzeciej osobie. Według ekspertów zrzut danych miał niewiele lub nic, co mogło w ogóle dotyczyć prezydenta. Udawali, że tak zrobili, po prostu przyzwyczaili się, że okup powinien zostać spłacony.

Żądanie okupu, które dociera do gwiazd.

Hakerzy REvil nie ograniczali swojej chciwości. Okup, o który prosili, wynosi 42 miliony dolarów, aby otrzymać Bitcoin, czyli 34,6 miliona funtów, i to nie jest niewielka kwota.

Początkowo cyberprzestępcy dali firmie prawniczej tydzień na spłatę połowy tej kwoty - 21 milionów dolarów okupu, ale firma przeciwstawiła się tej ofercie. Zgodzili się przekazać niewielką część żądanej kwoty - tylko 365 000 $. Ponieważ ich żądanie nie zostało zaspokojone, oszuści podwoili go. Gdyby miał zostać zapłacony, stałby się największym jak dotąd okupem dla cyberataków.

Osoby atakujące REvil wydają swoje wypowiedzi w ciemnej sieci. Korzystają z forów, aby podpowiedzieć wszystkim o swoich zagrożeniach, przemyśleniach i działaniach. Oszuści ukradli nowojorską kancelarię umowy, umowy o zachowaniu poufności (NDA), adresy e-mail, numery telefonów, korespondencję osobistą, prawa do muzyki itd. Na jednym z takich forów cyberprzestępcy przedstawili dowód swojego włamania, wyciekając na nim prywatne pliki.

Aby przypuszczalnie wywierać presję na firmę prawniczą, aby zapłaciła, napastnicy udostępnili część skradzionych danych w ciemnej sieci. Udostępnili zdjęcia „kontraktu na trasę Madonny w sezonie 2019-20„ Madame X ”z Live Nation” na ciemnym forum internetowym. Ponadto opublikowali 2,4 GB danych zawierających dokumenty prawne Lady Gagi - kontrakty koncertowe, występy telewizyjne i merchandising.

Ryc. 2)
REvil, część niedawnego kontraktu Madame X na trasę koncertową, ukradł się podczas włamania. Źródło: dailymail.co.uk

Po tych przeciekach pojawiło się zagrożenie, że Prezydent będzie następny na liście.

„Następną osobą, którą będziemy publikować, jest Donald Trump. Trwa wyścig wyborczy i na czas znaleźliśmy mnóstwo brudnej bielizny. Pan Trump, jeśli chcesz zostać prezydentem, ostro naciskasz na facetów, w przeciwnym razie możesz na zawsze zapomnieć o tych ambicjach. A my, wyborcy, możemy poinformować cię, że po takiej publikacji na pewno nie chcesz widzieć go jako prezydenta. Cóż, pomińmy szczegóły. Termin wynosi jeden tydzień. „

Jak już wspomniano, eksperci stwierdzili, że twierdzenie, że Donald Trump był klientem firmy, jest fałszywe. Nadal ważne jest, aby pamiętać, że nawet jeśli cyberataki mogą nie mieć prawdziwego brudu na Donaldzie Trumpie, mają wiele poufnych, prywatnych informacji na temat wielu celebrytów.

Eksperci sugerują, że jedynym sposobem, aby przestępcy osiągnęli zysk, jest licytacja tego, co udało im się ukraść. I już to zaczęli. Ogłosili, że 25 maja wystawią na aukcji dane dotyczące Madonny - potwierdzonego klienta zhakowanej firmy prawniczej. Cena wywoławcza wynosiłaby milion dolarów.

Nie wiadomo, ile pieniędzy cyberprzestępcy mogą zarobić na danych, które ukradli. Po włamaniu eksperci twierdzili, że REvil uzyskał 756 GB danych.

Trochę więcej o REvil.

Słynna grupa hakerów REvil, rzekomo wywodząca się z Europy Wschodniej. Jeśli nazwa dzwoni, to dlatego, że istnieje niesławne oprogramowanie ransomware o tej samej nazwie, które od dłuższego czasu nęka użytkowników Internetu. REvil, znany również jako Sodinokibi, to ogromne zagrożenie ransomware, odkryte 17 kwietnia 2019 r.

Infekcja zwykle rozprzestrzenia się za pośrednictwem instalatorów oprogramowania z backdoored, technik skanowania i wykorzystania, serwerów RDP i zestawów exploitów.

Gdy tylko oprogramowanie ransomware wślizgnie się do twojego systemu, jego programowanie zostanie aktywowane. Złośliwe oprogramowanie szyfruje wszystko.

Aby zapobiec potencjalnym konfliktom zasobów, które mogłyby przeszkodzić ransomware w czyszczeniu lub szyfrowaniu plików, REvil przerywa procesy z czarnej listy. Usuwa również kopie w tle, upewniając się, że docelowy system nie może przywrócić zablokowanych i usuniętych plików, przechodząc do kopii zapasowej. Podsumowując, wyłącza również tryb odzyskiwania.

Po zakończeniu szyfrowania pozostawia notatkę o okupie. Możesz go znaleźć na pulpicie i w każdym folderze zawierającym zaszyfrowane pliki. Zwykle jest to plik „ txt ” o nazwie „ HOW-DEC-DECRYPT.txt ”. Poniżej znajduje się przykład notatki okupu REvil.

Ryc.3
Notka o okupie REvil. Źródło: Secureworks

Nie musisz patrzeć dalej niż na pulpit, aby zdać sobie sprawę, że masz kłopoty. Nie tylko dlatego, że REvil pozostawia tam notatkę o okupie, ale także dlatego, że zmienia tapetę pulpitu. Podążając za wskazówkami, daje ci nowy obraz. To nic szczególnego, ale wręcz przeciwnie. Możesz zobaczyć przykład poniżej.

Ryc.4
Przykład tła pulpitu po szyfrowaniu. Źródło: Secureworks

Nota o okupie zawiera instrukcje dotyczące tego, czego oczekują od ciebie cyberataki. Chcą, abyś otworzył unikalny adres URL, jeśli chcesz odszyfrować swoje dane. Jeśli go otworzysz, ten adres URL przeniesie Cię do witryny kontrolowanej przez osobę atakującą, która pokazuje klucz do zapłaty okupu i formularz rozszerzenia. Oszuści oczekują, że podasz klucz i nazwę rozszerzenia, które znajdziesz w nocie okupu.

Ryc.5
Klucz płatności okupu i formularz rozszerzenia. Źródło: Secureworks

Gdy to zrobisz (wprowadź swoje unikalne informacje), podadzą Ci dokładną kwotę okupu, którą chcesz zapłacić. Jest prawie zawsze wyłącznie w bitcoinach. Poniżej znajduje się przykład wniosku o płatność i instrukcje do naśladowania.

Ryc.6
Instrukcje i szczegóły płatności okupu. Źródło: Secureworks

Porywacze danych obiecują, że jeśli zrobisz wszystko, o co cię proszą, uda ci się odzyskać kontrolę nad swoimi danymi. Podobno po dokonaniu płatności wysyłają ci klucz deszyfrujący, który odblokowuje wszystko, co zablokowali. Aby zdobyć zaufanie, oferują one odszyfrowanie trzech plików za darmo i dają wybór między plikami „ png ”, „ jpg ” i „ gif ”.

Ryc.7
Oferta próbnego odszyfrowywania. Źródło: Secureworks

Słuchaj rad ekspertów i NIE daj się zwieść tym kłamstwom. Pamiętaj, że masz do czynienia z cyberprzestępcami. Ludzie, którzy infiltrowali twój system, a następnie go uszkodzili. Nie możesz ufać słowu, które mówią. Nie wpadaj w sieć kłamstw, które kręcą i postępuj zgodnie z ich instrukcjami. Nie płać okupu! Nie marnuj energii i pieniędzy na kontakty z tymi ludźmi. To nie jest warte twojego czasu.

May 28, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.