Grupo de crimes cibernéticos atinge o escritório de advocacia de celebridades - decola com uma enorme quantidade de informações privadas

O grupo de crimes cibernéticos REvil realizou um ataque tão descarado que o governo americano os chamou de terroristas. Os notórios hackers atacaram um escritório de advocacia com sede em Nova York - Grubman Shire Meiselas & Sacks. Isso, por si só, não é nada digno da marca terrorista. No entanto, o que destaca esse ataque cibernético é a lista de clientes da empresa-alvo e a solicitação obscena de resgate.

O grupo REvil infectou a empresa de Nova York com ransomware, criptografou seus sistemas e roubou uma quantidade impressionante de dados privados de uma impressionante lista de clientes. Os atacantes excluíram ou criptografaram todos os seus backups. Assim, deixando-os sem opção, mas conformidade. A única maneira aparente para o escritório de advocacia recuperar o controle de seus dados é pagar o resgate, obter uma chave de descriptografia exclusiva e desbloquear os arquivos bloqueados.

Uma impressionante lista de clientes.

O escritório de advocacia de Nova York reforçou uma lista impressionante de clientes. Entre os nomes, você encontra Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo e Sofia Vergara. E isso apenas arranha a superfície.

Figura 1
O REvil publicou uma captura de tela dos arquivos intitulados com os nomes dos clientes da empresa. Fonte: Dailymail.co.uk

Os cibercriminosos também alegaram que Donald Trump, o presidente dos EUA, estava entre os clientes da empresa e que agora eles têm 'sujeira' nele. No entanto, essa alegação foi refutada.

Esse pequeno detalhe não impediu que os cibercriminosos continuassem sua farsa e ameaçassem expor informações confidenciais sobre Trump.

Os atacantes ameaçaram liberar todos os dados que roubaram, a menos que recebessem uma quantia obscena de dinheiro em resgate. Com os riscos tão altos, naturalmente, o FBI se envolveu. A agência entendeu o caso e anunciou que " negociar com ou pagar resgate a terroristas é uma violação da lei criminal federal".

REVIL Obtendo a atenção do FBI.

Assim que os representantes do grupo descobriram sua nova marca terrorista, ficaram bastante chateados. Não ser o que eles esperavam, levando um tapa na palavra 'terrorista', e provocou uma resposta rápida dos ciber-atacantes. Eles se voltaram para a dark web e publicaram um longo discurso sobre o assunto. Parte de sua declaração incluía: "O Sr. Advogado diz que Donald nunca foi seu cliente. E ele diz que estamos blefando. Oh, bem. A primeira parte, com as informações mais inofensivas, postaremos aqui". O post terminou com links para 169 e-mails, que supostamente eram uma pequena parte da 'roupa suja' que eles alegavam ter no presidente dos EUA.

Além disso, os hackers continuaram a atualizar as partes interessadas através de suas postagens na dark web. Em um post recente, eles alegaram que "as pessoas interessadas nos contataram e concordaram em comprar todos os dados sobre o presidente dos EUA, que acumulamos durante todo o tempo de nossa atividade". Eles continuaram dizendo que " estavam muito satisfeitos com o acordo ", mas não compartilharam detalhes específicos. Isso levou muitos a acreditar que era tudo um grande ardil, que os especialistas confirmaram como fato.

O que deu mais credibilidade à teoria do embuste foi o fato de que os 169 e-mails que os hackers compartilharam como 'prova' da sujeira que eles têm sobre Trump foram, no mínimo, encontrados em falta. Os e-mails pareciam não conter nada que pudesse ser classificado como "sujeira". Além disso, parecia que alguém navegava nos arquivos pesquisando a palavra 'trunfo' e compartilhava tudo o que continha essa palavra específica. Isso incluía 'trunfo' sendo usado como verbo e mensagens referentes a Trump na terceira pessoa. Segundo especialistas, o despejo de dados tinha pouco ou nada que pudesse se relacionar com o presidente. A pretensão que eles fizeram, apenas se acostumou como alavanca para o resgate ser pago.

Um pedido de resgate que alcança as estrelas.

Os hackers do REvil não colocaram um limite em sua ganância. O resgate que eles solicitaram chega a US $ 42 milhões para serem pagos em Bitcoin, ou 34,6 milhões de libras, e isso não é uma quantia pequena.

Inicialmente, os cibercriminosos deram uma semana ao escritório de advocacia para pagar metade disso - US $ 21 milhões em resgate, mas a empresa contestou a oferta. Eles concordaram em transferir uma mera fração da quantia solicitada - apenas US $ 365.000. Como a demanda deles não foi atendida, os bandidos a dobraram. Se fosse pago, seria o maior resgate já concedido a ciberataques.

Os atacantes do REvil tendem a emitir suas declarações na dark web. Eles usam fóruns para identificar todos sobre suas ameaças, pensamentos e ações. Os bandidos roubaram contratos, acordos de não divulgação (NDAs), endereços de e-mail, números de telefone, correspondência pessoal, direitos musicais, e assim por diante, do escritório de advocacia de Nova York. É em um desses foros que os cibercriminosos ofereceram prova de seu hack, vazando arquivos particulares nele.

Para presumivelmente pressionar o escritório de advocacia a pagar, os atacantes divulgaram alguns dos dados roubados na dark web. Eles compartilharam imagens de "um contrato para a turnê Madonna X de 2019-20 da Madonna com a Live Nation", em um fórum da dark web. Além disso, eles publicaram 2,4 GB de dados contendo documentos legais de Lady Gaga - contratos de concertos, aparições na TV e merchandising.

Figura 2
Parte do recente contrato de turnê de Madonna X de Madonna, o REvil roubou através do hack. Fonte: dailymail.co.uk

Após esses vazamentos, veio a ameaça de que o presidente seja o próximo na lista.

"A próxima pessoa que publicaremos é Donald Trump. Há uma corrida eleitoral e encontramos uma tonelada de roupa suja a tempo. Sr. Trump, se você quer permanecer presidente, cutuca os caras, caso contrário, você poderá esquecer essa ambição para sempre. E para os eleitores, podemos informar que, após essa publicação, você certamente não o verá como presidente. Bem, vamos deixar de fora os detalhes. O prazo é de uma semana. "

Como já foi dito, os especialistas consideraram a alegação de que Donald Trump era um cliente da empresa como falso. Ainda é importante observar que, mesmo que os ciber-atacantes não tenham uma real influência sobre Donald Trump, eles têm muitas informações confidenciais e privadas sobre muitas celebridades.

Especialistas sugerem que a única maneira de os criminosos obterem lucro é leiloar o que eles conseguiram roubar. E eles já começaram a fazê-lo. Eles anunciaram que, em 25 de maio, leiloariam os dados relacionados a Madonna - um cliente confirmado do escritório de advocacia invadido. O preço inicial seria de um milhão de dólares.

Não há como dizer quanto dinheiro os cibercriminosos podem obter com os dados que roubaram. Após a invasão, especialistas alegaram que o REvil fugiu com 756 GB de dados.

Um pouco mais sobre REVIL.

O notório grupo de hackers REvil, supostamente deriva da Europa Oriental. Se o nome toca, é porque há um ransomware famoso com o mesmo nome, que atormenta os usuários da web há um tempo. O REvil, também conhecido como Sodinokibi, é uma ameaça formidável para ransomware, descoberta em 17 de abril de 2019.

A infecção geralmente é distribuída por meio de instaladores de software backdoor, técnicas de varredura e exploração, servidores RDP e kits de exploração.

Assim que o ransomware desliza para o seu sistema, sua programação é ativada. O malware criptografa tudo.

Para evitar possíveis conflitos de recursos que atrapalhariam o ransomware para limpar ou criptografar arquivos, o REvil encerra os processos na lista negra. Ele também exclui cópias de sombra, garantindo que seu sistema de destino não possa restaurar o que foi bloqueado e excluído, recorrendo ao backup. Para completar, desabilita o modo de recuperação também.

Depois que a criptografia termina, você recebe uma nota de resgate. Você pode encontrá-lo na área de trabalho e em todas as pastas que contêm arquivos criptografados. Ele costuma ser um arquivo ' txt ' chamado ' HOW-TO-DECRYPT.txt '. Abaixo, você pode ver um exemplo de uma nota de resgate do REvil.

Fig.3
Uma nota de resgate do REvil. Fonte: Secureworks

Você não precisa procurar além da área de trabalho para perceber que está com problemas. Não apenas porque o REvil deixa para você a nota de resgate, mas também porque altera o papel de parede da área de trabalho. Para induzir você à sua provação, ela fornece uma nova imagem. Não é nada chique, mas muito pelo contrário. Você pode ver um exemplo abaixo.

Fig.4
Exemplo de plano de fundo da área de trabalho após criptografia. Fonte: Secureworks

A nota de resgate contém instruções sobre o que os cibercriminosos esperam que você faça. Eles querem que você acesse um URL exclusivo para descriptografar seus dados. Se você o abrir, esse URL o levará a um site controlado pelo invasor, que mostra uma chave de pagamento de resgate e um formulário de extensão. Os extorcionistas esperam que você forneça o nome da chave e da extensão, que você pode encontrar na sua nota de resgate.

Fig.5
Chave de pagamento de resgate e formulário de extensão. Fonte: Secureworks

Depois que você fizer isso (insira suas informações exclusivas), eles informam o valor exato do resgate que desejam que você pague. É quase sempre exclusivamente em Bitcoin. Abaixo, você encontra um exemplo de solicitação de pagamento e instruções a seguir.

Fig.6
Instruções e detalhes do pagamento do resgate. Fonte: Secureworks

Os seqüestradores de dados prometem que, se você fizer tudo o que eles pedirem, conseguirá recuperar o controle de seus dados. Supostamente, após o pagamento, eles enviam uma chave de descriptografia, que desbloqueia tudo o que havia bloqueado. Na tentativa de ganhar sua confiança, eles oferecem a descriptografar três de seus arquivos gratuitamente e oferecem a você uma escolha entre os arquivos ' png ', ' jpg ' e ' gif '.

Fig.7
Oferta de descriptografia de teste. Fonte: Secureworks

Preste atenção aos conselhos de especialistas e NÃO caia nessas mentiras. Lembre-se, você está lidando com criminosos cibernéticos. As pessoas que se infiltraram no seu sistema o danificaram. Você não pode confiar em uma palavra que eles dizem. Não caia na teia de mentiras que eles rodam e siga as instruções. Não pague o resgate! Não desperdice sua energia e dinheiro lidando com essas pessoas. Não vale a pena o seu tempo.

May 28, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.