(Aktualizované o 23:50)
Celebritná advokátska kancelária Grubman Shire Meiselas & Sacks (GSMS) sa stala obeťou ransomvérovej skupiny REvil. Hekeri jej počas útoku ukradli dôverné dokumenty jej klientov a teraz žiadajú výkupné vo výške 42 miliónov dolárov za to, že ich nezverejnia. Medzi nimi sa majú nachádzať aj kompromitujúce materiály na amerického prezidenta Donalda Trumpa, informoval portál ZDnet.
Právnická firma zastupuje hviezdy ako Lady Gaga, Mariah Carey, Elton John, U2 či Jessica Simpson. Minulý týždeň však z jej počítačov uniklo 756 gigabajtov dát, ktoré obsahujú ich zmluvy, dohody o mlčanlivosti, telefónne čísla, e-mailové adresy, ale aj súkromnú korešpondenciu známych osobností. Útočníci boli pri útoku dôslední a okrem toho vymazali dokonca aj online zálohy GSMS.
Tento typ škodlivej aktivity sa nazýva dvojité vydieranie. Útočníci v takýchto prípadoch nielenže zablokujú majiteľovi prístup k súborom, ale dokumenty najprv odcudzia a uchovajú si ich pre ďalšie potreby.
Ransomvér REvil, známy aj ako Sodinokibi, sa prvýkrát objavil minulý rok. Nedávno sa jeho obeťou stala aj britská zmenárenská spoločnosť Travelex, ktorá podľa informácií The Wall Street Journal útočníkom výkupné vo výške 2,3 milióna dolárov nakoniec zaplatila.
Vyjednávanie s hekermi ako trestný čin
Prvá vyhrážka od autorov REvilu sa spolu s útržkom zmluvy Madonny objavila na darknete 7. mája. Po tom, čo GSMS pripustila vyplatenie iba zlomku z požadovaných 21 miliónov dolárov, útočníci cenu zdvojnásobili a zverejnili právne dokumenty speváčky Lady Gaga.
Skupina následne prišla s ďalšou vyhrážkou pre Donalda Trumpa:
„[V USA] práve prebiehajú voľby a my sme včas našli tonu špinavého prádla. Pán Trump, ak chcete zostať prezidentom aj naďalej, postrčte tých chlapov ostrou palicou, inak sa s týmito ambíciami môžete rozlúčiť nadobro. A vy voliči, môžeme vás uistiť, že po tomto zverejnení ho už isto nebudete chcieť vidieť ako prezidenta.“
Nie je jasné, aké prepojenie medzi Trumpom a GSMS sa hekerom podarilo nájsť. Podľa bulvárneho magazínu Page Six nebol prezident klientom tejto kancelárie a má ísť iba o prázdne slová, ktoré slúžia na vzbudenie pozornosti.
Zástupcovia spoločnosti GSMS odmietajú s hekermi diskutovať.
„FBI navyše uviedla, že tento hek je považovaný za akt medzinárodného terorizmu a my s teroristami nevyjednávame,“ povedal jeden zo spoločníkov pre portál Page Six.
Brett Callow, expert bezpečnostnej firmy Emsisoft, ďalej pre Page Six uviedol, že ide o najväčšie výkupné, aké kyberzločinci kedy požadovali. Rekord doposiaľ držala 25 miliónová požiadavka.
Prvé e-maily sú vonku
Tak ako skupina sľúbila, prvé „kompromitujúce materiály“ na Donalda Trumpa zverejnila už v priebehu víkendu. Zo zverejnených e-mailov sa ale zdá, že ide len o vyfiltrované správy, ktoré obsahovali anglické slovo „trump“. Nie všetky tak priamo súviseli s americkým prezidentom.
Meno Donalda Trumpa sa v správach objavilo zväčša v súvislosti s novinovými a bulvárnymi článkami a ich obsah nijak nepoškodzoval jeho osobu.
Najímajú externistov
Podľa zistení bezpečnostnej firmy Advanced Intelligence (AdvIntel) spolupracuje skupina REvil s externými hekermi, ktorých si najíma na prienik do systémov. Ako príklad uvádza hekerov -TMT- a Lalartu, s ktorými nadviazala spoluprácu v auguste minulého roku.
Obaja sa špecializovali na prienik do administrátorských účtov a svoje služby ponúkali ransomvérovým skupinám na jednom z najvplyvnejších ruských hekerských fór od roku 2019. Medzi obeťami -TMT- sa objavili napríklad univerzity a vzdelávacie inštitúcie v Spojených štátoch, poskytovateľ finančných služieb z Kolumbie, energetická spoločnosť z Bolívie, výrobca mliečnych výrobkov z Dánska či medzinárodný námorný prepravca.
Po nadviazaní spolupráce obaja hekeri z fóra odišli. Podľa AdvIntel sa ich postup zhoduje s trendom za posledné dva roky, kedy experti na prienik do počítačových sietí odchádzajú z hekerských fór, aby mohli s vybranými zákazníkmi komunikovať cez aplikácie na bezpečnú komunikáciu.
(KU + VK)