REvil Cyber Crime Group наносит удар по юридической фирме для знаменитостей - уходит с массой частной информации
Группа по борьбе с киберпреступностью REvil совершила такое наглое нападение, что американское правительство объявило их террористами. Пресловутые хакеры напали на нью-йоркскую юридическую фирму - Grubman Shire Meiselas & Sacks. Это само по себе не является чем-то достойным террористического бренда. Однако, что выделяет эту кибератаку - это список клиентов целевой фирмы и непристойный запрос на выкуп.
Группа REvil заразила нью-йоркскую фирму вымогателями, зашифровала ее системы и украла ошеломляющее количество личных данных из внушительного списка клиентов. Злоумышленники удалили или зашифровали все свои резервные копии. Таким образом, не оставляя им выбора, кроме соблюдения. Единственный очевидный способ для юридической фирмы восстановить контроль над своими данными - это заплатить выкуп, получить уникальный ключ дешифрования и разблокировать заблокированные файлы.
Table of Contents
Впечатляющий список клиентов.
Нью-йоркская юридическая фирма поддержала внушительный список клиентов. Среди имен вы найдете Леди Гагу, Леброна Джеймса, Мэрайю Кэри, Майка Тайсона, Элтона Джона, Колина Кэперника, Ники Минаж, Слоана Стивенса, Брюса Спрингстина, Мадонну, Роберта Де Ниро, Лиццо, Софию Вергару. И это просто царапает поверхность.
REvil опубликовал скриншот файлов с именами клиентов компании. Источник: Dailymail.co.uk
Кибератаки также утверждали, что Дональд Трамп, президент США, был одним из клиентов фирмы и что теперь у него есть «грязь» на нем. Однако это требование было опровергнуто.
Эта незначительная деталь не помешала киберпреступникам продолжать свою шараду и угрожать раскрыть секретную информацию о Трампе.
Злоумышленники пригрозили выпустить все украденные ими данные, если им не заплатят неприличную сумму выкупа. Естественно, с такими высокими ставками ФБР вмешалось. Бюро получило дело и объявило, что « переговоры с террористами или их выкуп являются нарушением федерального уголовного законодательства».
Получите внимание от ФБР.
Как только представители группы узнали о своем новом террористическом брендинге, они очень расстроились. Избавиться от слова «террорист» - это не то, что они ожидали, и это вызвало быстрый ответ со стороны кибератак. Они повернулись к темной паутине и отправили длинную разглагольствование по этому вопросу. Часть их заявления включала: « Мистер Юрист говорит, что Дональд никогда не был их клиентом. И он говорит, что мы блефуем. Хорошо. Первая часть, с самой безобидной информацией, мы опубликуем здесь». Пост закончился ссылками на 169 электронных писем, которые, предположительно, были небольшой частью «грязного белья», которое, как они утверждали, было на президенте США.
Кроме того, хакеры продолжали обновлять заинтересованные стороны через свои темные посты в сети. В одном из недавних подобных сообщений они утверждали, что «заинтересованные люди связались с нами и согласились купить все данные о президенте США, которые мы накопили за все время нашей деятельности». Они продолжили говорить, что «очень довольны сделкой », но не поделились подробностями. Это заставило многих поверить, что это была одна большая уловка, которую эксперты тогда подтвердили как факт.
Что еще больше повлияло на теорию обмана, так это тот факт, что 169 электронных писем, которыми хакеры поделились как «доказательство» грязи, которую они имеют на Трампе, были, по крайней мере, найдены неуместными. В электронных письмах не было ничего, что можно было бы классифицировать как «грязь». Более того, это выглядело так, как будто кто-то просматривал архивы, выполняя поиск по слову «козырь», а затем делился всем, что содержало это конкретное слово. Это включало использование «козыря» в качестве глагола и сообщения, относящиеся к Трампу от третьего лица. По мнению экспертов, свалка данных практически не имела ничего общего с президентом. Предлог, который они сделали, просто использовался как рычаг для получения выкупа.
Просьба о выкупе, которая достигает звезд.
Хакеры REvil не ограничивали свою жадность. Запрашиваемый выкуп составляет 42 миллиона долларов, чтобы заплатить в биткойнах, или 34,6 миллиона фунтов, и это немалая сумма.
Первоначально кибер-вымогатели дали юридической фирме неделю, чтобы заплатить им половину из этого - 21 миллион долларов выкупом, но фирма оспаривала это предложение. Они согласились перечислить лишь небольшую часть запрошенной суммы - всего 365 000 долларов. Поскольку их требование не было выполнено, мошенники удвоили его. Если бы ему заплатили, это стало бы самым большим выкупом, когда-либо полученным кибер-злоумышленниками.
Злоумышленники REvil обычно публикуют свои заявления в темной паутине. Они используют там форумы, чтобы подсказать всем свои угрозы, мысли и действия. Мошенники украли контракты, соглашения о неразглашении (NDA), адреса электронной почты, номера телефонов, личную переписку, права на музыку и т. Д. У нью-йоркской юридической фирмы. Именно на одном из таких форумов киберпреступники представили доказательства своего взлома, утекли в него личные файлы.
По-видимому, чтобы оказать давление на юридическую фирму, злоумышленники опубликовали некоторые украденные данные в темной сети. На темном веб-форуме они поделились фотографиями «контракта Мадонны на тур« Madame X »на 2019-20 с Live Nation» . Кроме того, они опубликовали 2,4 ГБ данных, содержащих юридические документы Lady Gaga - концертные контракты, выступления на телевидении и мерчендайзинг.
Часть недавнего тура Мадонны с турне Madame X, REvil украл через хакера. Источник: dailymail.co.uk
После этих утечек появилась угроза того, что президент будет следующим в списке.
«Следующий человек, которого мы опубликуем, это Дональд Трамп. Идет предвыборная гонка, и мы вовремя нашли кучу грязного белья. Мистер Трамп, если вы хотите остаться президентом, ткните острой палкой в парней, в противном случае вы можете навсегда забыть об этом стремлении. А вам, избирателям, мы можем сообщить вам, что после такой публикации вы определенно не захотите видеть его президентом. Что ж, давайте не будем вдаваться в подробности. Срок - одна неделя. "
Как уже говорилось, эксперты сочли ложным утверждение о том, что Дональд Трамп был клиентом фирмы. Тем не менее важно отметить, что даже если кибер-злоумышленники могут не иметь реальной грязи на Дональда Трампа, у них действительно есть много конфиденциальной, конфиденциальной информации об убийстве знаменитостей.
Эксперты предполагают, что единственный способ получить прибыль для преступников - продать с аукциона то, что им удалось украсть. И они уже начали это делать. Они объявили, что 25 мая они выставят на аукцион данные, касающиеся Мадонны - подтвержденного клиента взломанной юридической фирмы. Начальная цена будет миллион долларов.
Невозможно сказать, сколько денег киберкруки могут заработать на данных, которые они украли. После их взлома эксперты утверждали, что REvil завершил работу с 756 ГБ данных.
Еще немного о REvil.
Пресловутая хакерская группа REvil, предположительно, происходит из Восточной Европы. Если имя звучит как колокол, то это потому, что существует одноименная вымогательская программа с таким же именем, которая уже давно преследует веб-пользователей. REvil, также известный как Sodinokibi, представляет собой грозную угрозу вымогателей, обнаруженную 17 апреля 2019 года.
Инфекция обычно распространяется через бэкдор-установщики программного обеспечения, методы сканирования и использования, серверы RDP и наборы эксплойтов.
Как только вымогатель проскальзывает в вашу систему, его программирование активируется. Вредонос шифрует все.
Чтобы предотвратить потенциальные конфликты ресурсов, которые могут помешать вымогателю уничтожить или зашифровать файлы, REvil завершает процессы, занесенные в черный список. Он также удаляет теневые копии, гарантируя, что его целевая система не сможет восстановить заблокированные и удаленные данные, обратившись к резервной копии. В довершение всего, он также отключает режим восстановления.
После того, как шифрование заканчивается, он оставляет вам записку выкупа. Вы можете найти его на рабочем столе и в каждой папке, содержащей зашифрованные файлы. Это, как правило, файл ' txt ' с именем ' HOW-TO-DECRYPT.txt .' Ниже вы можете увидеть пример заметки о выкупе.
Еще раз выкуп Примечание. Источник: Secureworks
Вам не нужно смотреть дальше своего рабочего стола, чтобы понять, что у вас проблемы. Не только потому, что REvil оставляет там записку с требованием выкупа, но и потому, что она меняет обои для рабочего стола. Чтобы подсказать вам ваше испытание, оно дает вам новый образ. В этом нет ничего фантастического, а совсем наоборот. Вы можете увидеть пример ниже.
Пример фона рабочего стола после шифрования. Источник: Secureworks
В записке о выкупе содержатся инструкции о том, что от вас ожидают кибер-атакующие. Они хотят, чтобы вы переходили на уникальный URL, если хотите расшифровать свои данные. Если вы откроете его, этот URL приведет вас на сайт, контролируемый злоумышленником, на котором будет показан ключ для выкупа и форма расширения. Вымогатели ожидают, что вы предоставите ключ и добавочный номер, которые вы найдете в записке с требованием выкупа.
Выкуп ключ оплаты и расширение формы. Источник: Secureworks
После того, как вы это сделаете (введите вашу уникальную информацию), вам сообщат точную сумму выкупа, которую они хотят вам заплатить. Это почти всегда исключительно в биткойнах. Ниже вы можете найти пример запроса на оплату и инструкции для подражания.
Инструкции и детали оплаты выкупа. Источник: Secureworks
Похитители данных обещают, что если вы сделаете все, о чем они вас просят, вам удастся восстановить контроль над своими данными. Предположительно, после оплаты они отправляют вам ключ расшифровки, который разблокирует все, что они заблокировали. В попытке завоевать ваше доверие, они предлагают бесплатно расшифровать три ваших файла и предоставить вам выбор между файлами « png» , « jpg » и « gif ».
Предложение по пробной расшифровке. Источник: Secureworks
Прислушайтесь к советам экспертов и не поддавайтесь на эту ложь. Помните, вы имеете дело с киберпреступниками. Люди, которые проникли в вашу систему, испортили ее. Вы не можете доверять слову, которое они говорят. Не падайте в паутину лжи, которую они крутят, и следуйте их указаниям. Не платите выкуп! Не тратьте свою энергию и деньги на общение с этими людьми. Это не стоит вашего времени.
