REvil Cyber Crime Group slår till kändisadvokatfirma - gör sig av med en massa privat information
REvil-cyberbrottsgruppen genomförde en så modig attack att den amerikanska regeringen märkte dem som terrorister. De ökända hackarna riktade sig till ett New York-baserat advokatfirma - Grubman Shire Meiselas & Sacks. Det i sig är inte något värt terroristmärket. Men vad som gör att denna cyberattack sticker ut är det riktade företagets klientlista och den obscen lösenbegäran.
REvil-gruppen infekterade NY-företaget med ransomware, krypterade sina system och stal en häpnadsväckande mängd privat data från en imponerande klientlista. Angriparna raderade eller krypterade alla sina säkerhetskopior. Således lämnar dem inget alternativ, men efterlevnad. Det enda uppenbara sättet för advokatbyrån att återfå kontrollen över sina uppgifter är att betala lösen, få en unik dekrypteringsnyckel och låsa upp de låsta filerna.
Table of Contents
En imponerande klientlista.
Advokatbyrån i New York förstärkte en imponerande kundlista. Bland namnen hittar du Lady Gaga, LeBron James, Mariah Carey, Mike Tyson, Elton John, Colin Kaepernick, Nicki Minaj, Sloane Stephens, Bruce Springsteen, Madonna, Robert De Niro, Lizzo, Sofia Vergara. Och det repar bara ytan.
REvil publicerade en skärmdump av filer med namn på företagets kunder. Källa: Dailymail.co.uk
Cyberattackerna hävdade också att Donald Trump, USA: s president, var bland företagets klienter och att de nu har "smuts" på honom. Detta påstående har emellertid åsidosatts.
Denna mindre detalj hindrade inte cyberbrottslingarna från att fortsätta sin karade och hotade att avslöja känslig information om Trump.
Angriparna hotade att släppa alla uppgifter de stal om de inte betalade ett obscen belopp i lösen. Med insatserna så höga gick FBI naturligtvis med. Byrån fick saken och meddelade att " förhandlingar med eller betalning av lösen till terrorister är ett brott mot federal strafflagstiftning."
REvil Att få FBI: s uppmärksamhet.
Så snart gruppens representanter fick reda på deras nya terroristmärke blev de ganska upprörda. Att bli smäll med ordet "terrorist" är inte vad de förväntade sig, och det fick ett snabbt svar från cyberattackerna. De vände sig till den mörka webben och publicerade en lång rant om saken. En del av deras uttalande inkluderade, " Herr advokat säger att Donald aldrig har varit deras klient. Och han säger att vi bluffar. Nåväl. Den första delen, med den mest ofarliga informationen, kommer vi att publicera här." Inlägget avslutades med länkar till 169 e-postmeddelanden, som förmodligen var en liten del av den "smutsiga tvätt" som de hävdade ha på USA: s president.
Dessutom fortsatte hackarna att uppdatera intresserade parter via sina mörka webbposter. I ett sådant nyligen inlägg hävdade de att "Intresserade kontaktade oss och gick med på att köpa all information om den amerikanska presidenten, som vi har samlat under hela vår verksamhet." De fortsatte med att säga hur "mycket nöjd med affären " de var men delade inte detaljer. Det ledde till att många trodde att det var en enda stor skada, som experter sedan bekräftade som faktum.
Det som gav hoaxteorin ytterligare trovärdighet var det faktum att de 169 e-postmeddelandena som hackarna delade som "bevis" på smuts de har på Trump, åtminstone fanns misslyckade. E-postmeddelandena tycktes inte innehålla något som kan klassificeras som "smuts." Dessutom såg det ut som någon bläddrade igenom arkiv genom att söka ordet "trumf" och sedan delade allt som innehöll det specifika ordet. Det inkluderade "trumf" att använda sig som ett verb och meddelanden som hänvisar till Trump i tredje person. Enligt experter hade datadumpningen lite till ingenting som alls kunde relatera till presidenten. Låtsas som de gjorde, användes bara som hävstång för lösen för att få betalt.
En lösningsförfrågan som når för stjärnorna.
REvil-hackarna satte inte gränsen för deras girighet. Lösen de begärde uppgår till 42 miljoner dollar för att få betalt i Bitcoin, eller 34,6 miljoner pund, och det är inget litet belopp.
Ursprungligen gav cyber-utpressarna advokatbyrån en vecka för att betala hälften av detta - 21 miljoner dollar i lösen, men företaget motsatte sig erbjudandet. De gick med på att överföra bara en bråkdel av det begärda beloppet - endast $ 365 000. Eftersom deras efterfrågan inte möttes, fördubblade skurkarna det. Om det skulle få betalt, skulle det bli den största lösen som någonsin ges till cyberattacker.
Attackarna av REvil tenderar att publicera sina uttalanden på den mörka webben. De använder forum där för att leda alla om sina hot, tankar och handlingar. Skurkarna stal kontrakt, icke-avslöjande avtal (NDA), e-postadresser, telefonnummer, personlig korrespondens, musikrättigheter och så vidare från New York advokatbyrå. Det är på ett sådant forum som cyberbrottslingarna erbjöd bevis på deras hack genom att läcka privata filer på det.
För att förmodligen pressa advokatbyrån att betala, släppte angriparna en del av de stulna uppgifterna på den mörka webben. De delade bilder av "ett kontrakt för Madonnas" Madame X-turné 2019-20-20 med Live Nation ", på ett mörkt webbforum. Dessutom publicerade de 2,4 GB data som innehöll lagliga handlingar av Lady Gaga - konsertavtal, TV-uppträdanden och merchandising.
En del av Madonnas senaste Madame X-turneringskontrakt, REvil stal via hacket. Källa: dailymail.co.uk
Efter dessa läckor kom hotet att presidenten är nästa på listan.
"Nästa person som vi publicerar är Donald Trump. Det pågår en vallopp och vi hittade massor av smutsig tvätt i tid. Mr. Trump, om du vill vara president, säger en skarp pinne på killarna, annars kan du glömma den här ambitionen för evigt. Och till er väljarna, vi kan låta er veta att efter en sådan publikation, ni verkligen inte vill se honom som president. Tja, låt oss lämna ut detaljerna. "
Som redan nämnts fann experter påståendet att Donald Trump var en klient hos företaget för att vara falsk. Det är fortfarande viktigt att notera att även om cyberattackerna kanske inte har någon verklig smuts på Donald Trump så har de mycket känslig, privat information om ett antal kändisar.
Experter föreslår att det enda sättet för kriminella att få vinst är att auktionera det de lyckades stjäla. Och de har redan börjat göra det. De tillkännagav att den 25 maj skulle de auktionera uppgifter om Madonna - en bekräftad klient hos det hackade advokatbyrån. Startpriset skulle vara en miljon dollar.
Det finns inget att säga hur mycket pengar cybercrooks kan göra av de uppgifter de stal. Efter deras hack hävdade experter att REvil lyckades med 756 GB data.
Lite mer om REvil.
Den ökända hackergruppen REvil härstammar påstås från Östeuropa. Om namnet ringer på en klocka beror det på att det finns ökända ransomware med samma namn, som har plågat webbanvändare ett tag. REvil, även känd som Sodinokibi, är ett formidabelt ransomware-hot som upptäcktes den 17 april 2019.
Infektionen distribueras vanligtvis via bakdörriga programvaruinstallatörer, scan-and-exploit-tekniker, RDP-servrar och exploit-satser.
Så snart ransomware slider in i ditt system aktiveras dess programmering. Malware krypterar allt.
För att förhindra potentiella resurskonflikter som kommer i vägen för ransomware för att torka eller kryptera filer avslutar REvil svartlistade processer. Det raderar också skuggkopior, vilket säkerställer att det riktade systemet inte kan återställa det som låstes och raderas genom att vända sig till dess säkerhetskopia. För att fylla på allt avaktiverar det också återställningsläget.
När krypteringen är klar lämnar det dig en lösenanteckning. Du kan hitta det på skrivbordet och i varje mapp som innehåller krypterade filer. Det tenderar att vara en " txt " -fil som heter " HUR-TILL-DECRYPT.txt ." Nedan kan du se ett exempel på en REvil-lösningsnot.
En REvil lösningsnot. Källa: Secureworks
Du behöver inte leta längre än på ditt skrivbord för att inse att du är i problem. Inte bara för att REvil lämnar dig lösningsmeddelandet där, utan också för att det ändrar skrivbordsunderlägg. För att leda dig till din prövning ger det dig en ny bild. Det är inget fan, men tvärtom. Du kan se ett exempel nedan.
Exempel på en skrivbordsbakgrund efter kryptering. Källa: Secureworks
Lösningsmeddelandet innehåller instruktioner om vad cyberattackerna förväntar dig att göra. De vill att du ska gå till en unik URL om du ska dekryptera dina data. Om du öppnar den tar URLen dig till en angreppsstyrd webbplats som visar dig en lösen betalningsnyckel och förlängningsformulär. Utpressarna förväntar dig att du ska ange nyckeln och tilläggsnamnet, som du kan hitta i din lösningsmeddelande.
Lösen betalningsnyckel och förlängningsformulär. Källa: Secureworks
När du har gjort det (ange din unika information) berättar de dig för det exakta lösenbeloppet de vill att du ska betala. Det är nästan alltid exklusivt i Bitcoin. Nedan hittar du ett exempel på en betalningsbegäran och instruktioner att följa.
Instruktioner och lösenuppgifter. Källa: Secureworks
Data kidnapparna lovar att om du gör allt de ber dig, kommer du att lyckas få tillbaka kontrollen över dina uppgifter. Förmodligen skickar de efter betalning en dekrypteringsnyckel som låser upp allt de hade låst. I ett försök att tjäna ditt förtroende erbjuder de att dekryptera tre av dina filer gratis och ger dig valet mellan " png" , " jpg " och " gif " -filer.
Prövning av dekryptering. Källa: Secureworks
Se experternas råd och faller INTE för dessa lögner. Kom ihåg att du har att göra med cyberbrottslingar. Människor som infiltrerade ditt system förstörde sedan det. Du kan inte lita på ett ord de säger. Fäll inte in i ljusen de snurrar och följ deras instruktioner. Betala inte lösen! Slösa inte din energi och pengar med dessa människor. Det är inte värt din tid.
