Cibercriminales que amenazan con subastar archivos robados de Lady Gaga, Madonna y (tal vez) Donald Trump


Los piratas informáticos afirman que la firma de abogados de alto perfil donde se originaron los archivos se ha negado a pagar su rescate.

Los piratas informáticos detrás del ataque de ransomware contra la firma de abogados de celebridades Grubman, Shire, Meiselas & Sacks han abandonado su esfuerzo para obtener más de $ 42 millones de los abogados y, según los informes, han subastado los archivos al mejor postor.

El grupo hizo olas el 7 de mayo cuando publicaron un mensaje en su «Blog feliz» alegando haber violado los sistemas internos de Grubman, Shire, Meiselas & Sacks, que representa a cientos de pesos pesados ​​de Hollywood como Robert DeNiro, Tom Cruise, Girl Gaga, Jennifer Lopez, Bruce Springsteen, Elton John y muchos más. Los atacantes publicaron una captura de pantalla de todos los archivos que robaron y la lista presenta docenas de los nombres más importantes en entretenimiento y 756 gigabytes de documentos, contratos y archivos legales.

En una publicación de blog detallada, expertos de la firma de ciberseguridad DarkOwl explicaron que a través de su investigación de Dim World wide web, han encontrado indicios de que los piratas informáticos detrás del llamado ataque REvil ransomware se han alejado de su primera táctica y están buscando otra forma de monetizar los datos que robaron .

VER: Informe especial: Ciberseguridad en un mundo IoT y móvil (PDF gratuito) (TechRepublic High quality)

Ha sido un viaje lleno de baches para el bufete de abogados durante la última semana y media. El fundador de la firma, Allen Grubman, es uno de los abogados más poderosos de Hollywood en el negocio, y la firma representa a compañías y estrellas como LeBron James, Drake, The Weeknd y Priyanka Chopra.

«Podemos confirmar que hemos sido víctimas de un ataque cibernético. Hemos notificado a nuestros clientes y a nuestro personalized. Hemos contratado a los expertos del mundo que se especializan en esta área, y estamos trabajando las 24 horas para abordar estos asuntos», Grubman, Representantes de Shire, Meiselas & Sacks escribió en una declaración a Variety el 11 de mayo.

El grupo cibercriminal detrás del ataque ahora ha publicado su correspondencia con Grubman, Shire, Meiselas & Sacks, destacando que se les ofrecieron solo $ 365,000 de los $ 21 millones que exigieron después del ataque inicial.

El grupo no tomó amablemente la oferta de lowball y duplicó su precio, pidiendo $ 42 millones. También lanzaron un tramo de 2.4 GB de datos relacionados con Lady Gaga que incluía docenas de sus contratos, registros médicos, acuerdos y otros documentos, según el análisis de DarkOwl de los archivos.

Subieron la apuesta aún más en una publicación posterior, alegando que tenían información relacionada con el presidente de los Estados Unidos, Donald Trump. La Casa Blanca y el bufete de abogados han negado que el presidente haya sido cliente de Grubman, Shire, Meiselas & Sacks, lo que ha llevado a muchos a pensar que los piratas informáticos estaban mintiendo o promocionando archivos relacionados tangencialmente con el presidente Trump.

«Señor Trump, si quiere seguir siendo presidente, golpee con fuerza a los muchachos, de lo contrario puede olvidar esta ambición para siempre. Y a sus votantes, podemos informarles que después de tal publicación, ciertamente no quieren verlo como presidente … La fecha límite es una semana «, escribieron los hackers en su weblog.

Un portavoz de la firma de abogados le dijo a CNN el domingo que era trabajando con el FBI y no pagaría El exorbitante rescate.

Según el CEO de DarkOwl, Mark Turnage, el grupo se ha centrado en vender los datos que robaron al mejor postor en las subastas.

Turnage dijo que los investigadores de DarkOwl que recorrían la Dim Web descubrieron que una vez que nadie mordía los $ 21 millones, los atacantes REvil cambiaron de nombre e intentaron aumentar el rescate utilizando el ángulo de Trump.

«Inmediatamente, el gobierno de EE. UU. Respondió con &#39no negociamos con terroristas&#39 y los calificó de organización ciberterrorista, que cambia las cosas drásticamente. Si comprende la cultura de la Crimson Oscura y las diferentes comunidades y cómo se superponen, los cibercriminales no lo hacen». «Me gusta el terrorismo más que a nadie», dijo Turnage.

«A los delincuentes financieros no les gusta la etiqueta de &#39terrorista&#39 más que a cualquier otra persona. Respondieron enviando 165 correos electrónicos mencionando a Trump a la mañana siguiente».

Turnage señaló que, si bien los cibercriminales podrían haber pensado que mencionar el nombre del presidente Trump agregaría valor a lo que robaron, en realidad trajo un mayor escrutinio y, lo que es más importante, la aplicación de la ley, desvaneciendo las esperanzas que tenían de un gran día de pago. Los hackers ahora han recurrido a las casas de subastas Darkish Internet.

«Poner los datos a disposición de forma gratuita para extorsionar o aprovechar la extorsión no es efectivo porque ahora la policía está involucrada, el FBI está involucrado, el Servicio Secreto está involucrado porque Trump fue mencionado. Luego se dirigieron a esta casa de subastas llamada Jokerbuzz «, dijo Turnage.

«Jokerbuzz está dirigido por rusos y europeos del este y tienen una casa de subastas donde se filtran datos principalmente de un grupo de figuras políticas de Rusia y Europa del Este. Sus correos electrónicos y sus correspondencias que se vendieron en subastas anteriores. No tenemos idea de cuál es el precio para (los datos robados) todavía está «.

El mismo grupo también atacó a Sherwood Foods Distributors, una de las compañías de distribución de alimentos más grandes del país. Conocido como REvil o «Sodinokibi», el grupo es bien conocido por los investigadores debido a un ataque lucrativo se logró contra la empresa de cambio de divisas Travelex.

Debido al trabajo de DarkOwl que ofrece acceso al mayor conjunto de datos de Darkish Internet y contenido website profundo del mundo, los investigadores de la compañía han visto los archivos relacionados con Lady Gaga, Sherwood y los documentos iniciales relacionados con el presidente Trump.

Los delincuentes cibernéticos publicaron 2.300 archivos de Sherwood que contienen datos muy confidenciales que incluyen análisis de flujo de caja, información del subdistribuidor, información detallada sobre seguros, información de proveedores patentados, incluidos Kroger, Albertsons, Sprouts, imágenes escaneadas de licencias de conducir para conductores en sus redes de distribución, y más según DarkOwl.

«No me sorprendería si los piratas informáticos hubieran concluido que no se les pagará», dijo Turnage, y agregó que las filtraciones pueden no afectar a las grandes estrellas que pueden cambiar toda su información, pero tendrá un efecto drástico. en Sherwood

«Pueden estar tratando de monetizar los datos de alguna otra manera. Para Sherwood Foods, es realmente muy, muy mortal. Si soy otro de sus competidores, puedo ver exactamente lo que están cobrando, qué márgenes están haciendo, quiénes son sus clientes, y puedo ir a robar esos dos clientes «.

Turnage explicó que la mayoría de la información de los archivos de Woman Gaga eran fotos antiguas y contratos de cuando estaba en su gira mundial. Pero había información personal practical que no debería ser pública. Los hackers dijeron que publicaron sus datos porque «se acabó el tiempo».

En la publicación del blog site, los investigadores de DarkOwl explican que una revisión de los datos de Girl Gaga reveló que hay más de 3,000 archivos en 350 carpetas que incluyen formularios W9, informes de gastos, acuerdos de productores, certificados de compromisos y acuerdos de confidencialidad durante la última década. La parte más preocupante es la carpeta titulada «Acuerdos de confidencialidad médica de Gaga», que DarkOwl cree que puede incluir «parte de la información de identificación personalized más grande para el mega animador, como su número de Seguro Social».

A pesar de los titulares llamativos, la mayoría de los correos electrónicos relacionados con Trump analizados por DarkOwl simplemente incluían menciones de él y tenían poco que ver con cualquiera de sus actividades. Los piratas informáticos REvil han dicho que esta última filtración era solo una parte de los datos que tenían, pero Turnage dijo que algunos de los archivos que filtraron son simplemente clientes del bufete de abogados que hablan de quedarse en Trump Towers u hoteles.

La mayoría de los datos filtrados relacionados con Trump son solo empleados de Grubman, Shire, Meiselas & Sacks que discuten las elecciones de 2016 y otros archivos superfluos relacionados con cualquier cosa con el nombre de Trump.

«Cuando miras los datos, simplemente hicieron una búsqueda de palabras clave en contra de lo que tenían y sacaron algunos documentos. Ahora los piratas informáticos declaran en su último comunicado de prensa que intencionalmente no dieron las cosas más sensacionales sobre Trump y que eran reservando eso para venderlo. Dijeron que tienen un comprador y ya han hecho un acuerdo con ellos y han vendido los comunicados relacionados con Trump, o la mayoría de las cosas escandalosas, a un comprador «, dijo Turnage.

«Hay mucha discusión en la comunidad clandestina sobre esto. La mayoría de las personas sienten curiosidad porque definitivamente tienen datos reales de Lady Gaga y definitivamente se han infiltrado en los servidores de correo electrónico de esta firma de abogados. Pero están girando el ángulo de Trump solo para sonar más grandes y más malo de lo que realmente son? ¿Solo para llamar la atención de los medios? »

Los investigadores de DarkOwl dicen que la variedad de ransomware utilizado en este último ataque tiene rastros o relaciones con un malware utilizado en 2018 y 2019 llamado GrandCrab. La gente detrás de GrandCrab fue noticia el año pasado después de anunciando que estarían cerrando su operación de Ransomware como servicio (RaaS).

Turnage dijo que hay muchas personas que piensan que las mismas personas detrás de GrandCrab han reiniciado sus esfuerzos y se han reempaquetado con el mismo ransomware. El análisis forense del ransomware muestra una gran cantidad de código y detalles que conectan las herramientas REvil con GrandCrab. Investigaciones de DarkOwl de marcas de tiempo y otras pistas apuntan a que el grupo está basado en algún lugar de Europa del Este, agregó Turnage.

En su publicación de blog site, los investigadores de DarkOwl explican que los autores del ransomware Sodinokibi y sus asociados han estado distribuyendo ampliamente el ransomware a través de Javascript infectado en los sitios net de WordPress. Las notas de rescate generalmente incluyen instrucciones sobre cómo realizar el pago para descifrar los archivos, incluidas claves únicas y enlaces al sitio de pago.

El CEO de Lucy Security, Colin Bastable, dijo que esperaba que esta situación dañina obligaría a todas las firmas de abogados a tomarse la ciberseguridad más en serio.

«El bufete de abogados está atrapado entre una roca pirata y un lugar difícil de la base de clientes. Por cada otro bufete de abogados, asegúrese de que todos los socios y el particular tengan el mandato de recibir capacitación. Sabemos que algunos socios y abogados de alto nivel, como otros profesionales con poder, no les gusta que se les requiera someterse a una capacitación sobre conciencia de seguridad «, dijo Bastable.

«Ese apoyo al cliente se convertirá en una ley abrumadora si las celebridades sienten dolor. Si la gente necesita una lección sobre cómo los piratas informáticos fusionan la psicología, el marketing y el cierre de ventas de &#39eventos inminentes&#39, este es un caso de estudio perfecto en el arte negro de la distorsión».

En su última publicación de blog site, las personas detrás de REvil han dicho que Madonna es el próximo objetivo y planean subastar sus archivos personales confidenciales el 25 de mayo por un precio inicial de $ 1 millón. El pivote para la subasta, según DarkOwl, demuestra que la compañía se está alejando de la explotación de Grubman Shire Meiselas & Sacks y vendiendo los datos personales de personas de alto patrimonio. Algunos de los archivos de Madonna ya han llegado a las redes sociales.

Uno de los hechos más interesantes del caso es la respuesta al ataque de otros hackers. Los analistas de DarkOwl encontraron a docenas de ciberdelincuentes más experimentados en foros rusos frustrados con lo público que el equipo detrás de REvil ha hecho la situación.

«Nos topamos con un hilo en el que algunos de los miembros más antiguos del foro decían esencialmente que ya no respetaban REvil. En este foro, los miembros más viejos estaban muy preocupados por el enfoque del grupo REvil de arrastrar al presidente de los Estados Unidos». Dijo Turnage.

«(Los miembros mayores) dijeron que vieron un aumento en la actividad en su foro y que no querían la visibilidad. Querían permanecer ocultos y mantenerse en el nivel bajo. Su actividad de criar a Trump les atrajo atención no deseada, lo cual llamado tonto. Uno dijo que ya no se les debería permitir estar en el foro «.

Ver también

Secuestro de datos

Imagen: kaptnali, Getty Images / iStockphoto



Enlace a la noticia primary