Die REvil/Sodinokibi-Gang fordert nun stolze 42 Millionen US-Dollar von der Promi-Kanzlei Grubman Shire Meiselas & Sacks. Zahlen will diese aber nicht.

Die Cyber-Gangster, die mit ihrer Ransomware REvil/Sodonokibi kürzlich die IT-Systeme der New Yorker Anwaltskanzlei Grubman Shire Meiselas & Sacks infizierten und 750 GBye Daten prominenter Klienten kopierten, haben ihre Forderungen hochgeschraubt. Wie die Kanzlei gegenüber verschiedenen Medien bestätigte, wollen sie nun nicht mehr "nur" 21, sondern 42 Millionen US-Dollar.

Laut einem Artikel des Magazins Page Six hat die Gang ihrem ursprünglichen Druckmittel, nämlich sensiblen Daten prominenter Kanzleikunden wie Verträge, Geheimhaltungsvereinbarungen, Telefonnummern, E-Mail-Adressen und Korrespondenz, ein weiteres hinzugefügt. Angeblich droht sie nun mit der Veröffentlichung kompromittierender Informationen ("dirty laundry") über US-Präsident Donald Trump.

Die Deadline, innerhalb derer die Zahlung erfolgen solle, betrage eine Woche – ansonsten kämen Dinge ans Licht, die eine Wiederwahl Trumps gefährden könnten. Page Six zitiert die Erpresser mit den Worten: "And to you voters, we can let you know that after such a publication, you certainly don’t want to see him as president".

Um welche Art von "schmutziger Wäsche" es sich handeln soll, ist allerdings unklar – zumal Trump nach Page Six vorliegenden Informationen weder als Privatperson noch im Rahmen seiner Präsidentschaft Kunde bei Grubman Shire Meiselas & Sacks gewesen sein soll. heise online berichtete am gestrigen Donnerstag über den Ransomware-Befall der Kanzlei.

Kanzlei will Lösegeld offenbar nicht zahlen
Der Page-Six-Artikel beruft sich auf eine anonyme Quelle, derzufolge Rechtsanwalt Grubman es ablehne, die geforderte Summe zu zahlen. Aus seiner Sicht schütze eine Lösegeldzahlung nicht (zwangsläufig) davor, dass die Gang die kopierten Dokumente dennoch veröffentliche. Des Weiteren werde der Hack vom hinzugezogenen FBI als ein Akt des internationalen Terrorismus betrachtet – und die Kanzlei verhandle nicht mit Terroristen.

Indes berichtete ein Mitarbeiter von Emsisoft, der bereits zuvor erste Veröffentlichungen kopierter Kanzleidaten im Darknet beobachtet hatte, dass die REvil-Gang gemäß ihrer Drohung Schritt für Schritt weitere Informationen leake. Einem Artikel von Computer Weekly zufolge luden sie 2,4 GByte vertraulicher Dokumente der Popsängerin Lady Gaga bei einem Filesharing-Service hoch und teilten den Link anschließend abermals im Darknet.

Die Daten seien recht schnell wieder von der Filesharing-Plattform verschwunden; der Forscher vermutet, dass die Kanzlei bei deren Betreibern intervenierte. Vermutlich sei es den Kriminellen allerdings ohnehin weniger um die (dauerhafte) Verfügbarkeit der Dokumente als um das Aufbauen von Druck gegangen.

Quelle: Lösegeldforderung verdoppelt: REvil-Ransomware nimmt Donald Trump ins Visier | heise online

REvil-Ransomware-Gang startet Auktionsseite für gestohlene Daten

Den Anfang machen Daten einer kanadischen Firma. Das Mindestgebot beläuft sich auf 50.000 Dollar. Die Hacker kündigen weitere Auktionen an und betonen, dass sie weiterhin im Besitz von Dateien von Madonna und anderen Prominenten sind.

Die Hintermänner der REvil-Ransomware haben eine neue Website eingerichtet. Dort wollen sie die Daten versteigern, die sie zuvor bei Einbrüchen in die Netzwerke oder Computersysteme von Unternehmen erbeutet haben. Die Auktionsseite ist die neueste Taktik der Cyberkriminellen, um ihren Lösegeldforderungen Nachdruck zu verleihen.

Die REvil-Gang wird als eine der aggressivsten Ransomware-Gruppen weltweit angesehen. Bisher ging sie fast ausschließlich gegen Unternehmen vor – Angriffe auf Verbraucher sind nicht bekannt. Die Hacker sind aber auch für ihre sehr hohen Lösegeldforderungen bekannt. Anfang des Jahres war ein Durchschnitt von 260.000 Dollar ermittelt worden.

Generell wird stets empfohlen, den Forderungen von Cyber-Erpressern nicht nachzukommen. Einerseits soll deren Geschäftsmodell nicht gestützt werden, andererseits haben Opfer nicht die Gewissheit, dass sie nach einer Lösegeldzahlung auch tatsächlich die Informationen erhalten, die sie zur Entschlüsselung der von den Cyberkriminellen zuvor verschlüsselten Dateien erhalten.

Um die Wahrscheinlichkeit einer Zahlung zu erhöhen, gehen Ransomware-Betreiber immer häufiger dazu über, Dateien nicht nur zu verschlüsseln, sondern zuvor auch zu stehlen. Die REvil-Gang betreibt beispielsweise eine Website, auf der sie Auszüge der gestohlenen Daten veröffentlicht. Sollten die Opfer nicht den gewünschten Betrag zahlen, droht ihnen die Veröffentlichung der restlichen Daten.

Die Versteigerung der Daten kündigte die REvil-Gang nun in einem Blogeintrag an. Das eröffnet ihr die Möglichkeit, auch dann Geld zu verdienen, wenn ein Opfer zahlungsunwillig ist. Den Anfang machen nun Daten einer kanadischen Landwirtschaftsfirma, die kein Lösegeld bezahlt hat. Ihre Daten können nun zu einem Preis ab 50.000 Dollar gekauft werden, zahlbar in der Kryptowährung Monero.

Die Idee für die Auktionsseite kam den Verbrechern offenbar im Nachgang zum Angriff auf die New Yorker Anwaltskanzlei Grubman Shire Meiselas & Sacks (GSMS). Sie hatte versucht, das Lösegeld von 21 Millionen Dollar auf 365.000 Dollar herunterzuhandeln, woraufhin die Hacker 42 Millionen Dollar forderten und als Druckmittel Daten der US-Sängerin Lady Gaga veröffentlichten. Weitere prominente Mandanten der Kanzlei sind Madonna, U2, Mariah Carey und Bruce Springsteen.

Noch nicht umgesetzt haben die Hacker ihre Drohung, auch Daten von Madonna an den meistbietenden zu veräußern. Sie betonten in dem Blogeintrag allerdings, weder Madonna noch die anderen Prominenten aus den Augen zu verlieren.

Quelle: REvil-Ransomware-Gang startet Auktionsseite für gestohlene Daten | ZDNet.de