Attacco informatico allo studio legale di Lady Gaga e Bruce Springsteen

Un gruppo di cracker ha rubato 750 GB di dati dai computer di Grubman Shire Meiselas & Sacks, il prestigioso studio legale di New York che rappresenta artisti di alto profilo come Lady Gaga, Madonna, U2, Mariah Carey e Bruce Springsteen. I cyber criminali minacciano di pubblicare i documenti riservati rubati se non sarà pagato loro il riscatto richiesto.

“Possiamo confermare che siamo stati vittime di un attacco informatico”, ha detto al Rolling Stone un rappresentante di Grubman Shire Meiselas & Sacks in una dichiarazione. “Abbiamo informato i nostri clienti e il nostro personale. Abbiamo assunto esperti mondiali specializzati in questo settore e stiamo lavorando 24 ore su 24 per affrontare questi problemi “.

Grubman Shire MeiselasIl tesoro di dati presumibilmente rubato allo studio legale di New York – per un totale di 756 gigabyte – include contratti, accordi di non divulgazione, numeri di telefono e indirizzi e-mail e “corrispondenza personale“, secondo un’immagine fornita dal post degli hacker a Variety  di Emsisoft, una società di consulenza e software per la sicurezza informatica specializzata in ransomware.

I documenti presumibilmente includono informazionGrubman Shire Meiselasi su diversi personaggi famosi tra cui: Lady Gaga, Madonna, Nicki Minaj, Bruce Springsteen, Mary J. Blige, Ella Mai, Christina Aguilera, Mariah Carey, Cam Newton, Bette Midler, Jessica Simpson, Priyanka Chopra , Idina Menzel, “Last Week Tonight With John Oliver” della HBO e Run DMC. Anche Facebook è sulla lista dei risultati degli hacker.

Secondo i ricercatori di Emsisoft, i criminali informatici hanno colpito lo studio legale con un attacco informatico utilizzando il ransomware REvil (noto anche come Sodinokibi). Il gruppo dietro l’attacco aveva già preso di mira aziende e organizzazioni tra cui Travelex, la società di cambio valuta con sede nel Regno Unito, che ha pagato 2,3 milioni di dollari in bitcoin dopo un attacco ransomware, come ha riportato il Wall Street Journal. Il gruppo ha minacciato anche Facebook.

Il Rollonfriday  riporta che è stato inizialmente pubblicato una parte del furto di 2 GB di documenti legali riguardanti Lady Gaga. La banda di ransomware ha ora avviato un’asta in cui vende i file delle celebrità assistite dallo studio di Grubman Shire Meiselas & Sacks.

Il gruppo criminale pubblicato un messaggio in cui si afferma che i lotti in vendita includono documenti come contratti, accordi, informazioni riservate, conflitti giudiziari, corrispondenza interna con l’azienda,  e inoltre le informazioni non riguardano solo i “concerti” ma anche soldi a nero, manipolazione sociale, scandali sessuali, droga e tradimento . . .ed altri panni sporchi.

Il lobo dell’orecchio della vittima

Per dimostrare che il furto era reale, il gruppo dietro l’attacco ha inizialmente rilasciato un estratto da un contratto per il tour “Madame X” 2019-20 di Madonna con Live Nation.

L’analista delle minacce di Emsisoft, Brett Callow, ha detto che questi pezzi di informazioni rilasciati equivalgono a un “avvertimento” – l’equivalente del lobo dell’orecchio della vittima e che sicuramente il gruppo pubblicherà gli altri dati rubati se lo studio non pagherà il riscatto.

Callow stima che le organizzazioni statunitensi abbiano pagato più di 1,3 miliardi di dollari in richieste di riscatto l’anno scorso. “A livello globale, il costo annuale è di quasi $ 170 miliardi”, ha aggiunto.

“Questi incidenti stanno diventando sempre più comuni e sempre più preoccupanti e quando coinvolgono studi legali sono ancora più preoccupanti a causa della sensibilità dei dati in loro possesso”, ha aggiunto Callow.

La richiesta di riscatto

Il gruppo di cyber criminali inizialmente ha chiesto a Grubman di pagare 21 milioni di dollari come riscatto, che è stato successivamente raddoppiato a 42 milioni di dollari . Finora però Grubman si è rifiutato. “I nostri clienti dell’industria dell’intrattenimento hanno coralmente elogiato la posizione presa dallo studio di non cedere all’estorsione”, ha detto un portavoce dell’azienda, secondo i rapporti .

ransomware

Il ransomware REvil

CyberSRC Consultancy LLP, un azienda esperta di Cyber Security, descrive il ransomware REvil come una famiglia gestita come ransomware-as-a-service (RaaS). Le distribuzioni di REvil sono state osservate per la prima volta nell’aprile 2019, dove gli aggressori hanno sfruttato una vulnerabilità nei server Oracle WebLogic monitorati come CVE-2019-2725. Applicazioni come database e server di posta bloccano i file in uso in modo che non possano essere modificati da altri programmi. Ciò impedisce alle applicazioni ransomware di crittografarli senza interrompere il processo che ha bloccato il file. REvil utilizza l’API di Windows Restart Manager per arrestare i processi oi servizi di Windows mantenendo un file aperto durante la crittografia. REvil è altamente configurabile e consente agli operatori di personalizzare il modo in cui si comporta sull’host infetto. Alcune delle sue caratteristiche includono:

  • Sfrutta una vulnerabilità di escalation dei privilegi del kernel per ottenere i privilegi di SISTEMA utilizzando CVE-2018-8453.
  • Autorizza file, cartelle ed estensioni dalla crittografia.
  • Elimina processi e servizi specifici prima della crittografia.
  • Crittografa i file sulla memoria locale e di rete.
  • Personalizza il nome e il corpo della richiesta di riscatto e il contenuto dell’immagine di sfondo.
  • Esfiltra le informazioni crittografate sull’host infetto sui controller remoti.
  • REvil utilizza HTTPS (Hypertext Transfer Protocol Secure) per la comunicazione con i suoi controller.
  • Microsoft ha creato l’API per l’installazione fluida degli aggiornamenti software senza eseguire un riavvio. Al contrario, viene sfruttato per scopi dannosi dal ransomware.

Le best practice per mitigare il rischio di infezioni da ransomware

  • I backup sono fondamentali. Testare regolarmente i backup per l’integrità dei dati e per assicurarsi che siano operativi.
  • Utilizza soluzioni antivirus e antispam. Abilita scansioni regolari del sistema e della rete con i programmi antivirus abilitati per aggiornare automaticamente le firme. Implementa una soluzione anti-spam per impedire alle e-mail di phishing di raggiungere la rete. Considera l’idea di aggiungere un banner di avviso a tutte le e-mail da fonti esterne che ricordi agli utenti i pericoli derivanti dal fare clic sui collegamenti e aprire gli allegati.
  • Disabilita gli script delle macro. Prendi in considerazione l’utilizzo del software Office Viewer per aprire i file di Microsoft Office trasmessi tramite posta elettronica anziché le applicazioni complete della suite per ufficio.
  • Mantieni tutti i sistemi aggiornati, compreso tutto l’hardware, inclusi dispositivi mobili, sistemi operativi, software e applicazioni, inclusi i percorsi cloud e i sistemi di gestione dei contenuti (CMS), aggiornati e aggiornati. Utilizza un sistema di gestione delle patch centralizzato, se possibile. Implementa la white list delle applicazioni e i criteri di restrizione software (SRP) per impedire l’esecuzione di programmi in posizioni comuni di ransomware, come le cartelle temporanee.
  • Limita l’accesso a Internet. Utilizza un server proxy per l’accesso a Internet e considera un software di blocco degli annunci. Limita l’accesso ai punti di ingresso comuni del ransomware, come account di posta elettronica personali e siti Web di social network.
  • Controllare e monitorare le terze parti che hanno accesso remoto alla rete dell’organizzazione e /o le connessioni a terze parti, per assicurarsi che rispettino le migliori pratiche di sicurezza informatica.
  • Partecipa a programmi e organizzazioni di condivisione delle informazioni sulla sicurezza informatica.
  • Fornisci formazione in ingegneria sociale e phishing ai dipendenti. Invitali a non aprire e-mail sospette, a non fare clic su collegamenti o ad aprire allegati contenuti in tali e-mail e ad essere cauti prima di visitare siti Web sconosciuti.
  • Crea un piano di segnalazione che assicuri che il personale sappia dove e come segnalare attività sospette.

Altre iniziative utili per proteggersi

  • Una iniziativa molto importante è “No More Ransom”, nata nel 2016, intrapresa dal National High Tech Crime Unit della polizia olandese, dall’ European Cybercrime Centre dell’Europol e McAfee, con l’obiettivo di aiutare le vittime del ransomware a recuperare i loro dati criptati, senza dover pagare i cybercriminali.
  • Il CERT-PA ha pubblicato il 19/11/2019 la guida: Azioni utili per contrastare l’esecuzione e la diffusione di malware. Il CERT-PA, acronimo di Computer Emergency Response Team Pubblica Amministrazione, opera all’interno dell’agenzia AgID e ha il compito di supportare le amministrazioni nella prevenzione e nella risposta agli incidenti di sicurezza informatica.
  • Attenzione agli attacchi di social engineering. Il social engineering o ingegneria sociale è un attacco in cui la vittima prescelta è l’essere umano.
0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments