Recentemente lo studio legale di Lady Gaga, De Niro e Facebook è stato vittima di un attacco hacker tramite REvil. Dietro alla lista di clienti rappresentati dallo studio, ci sono anche importanti società come Spotify, personaggi come Mike Tyson, attori e una lista infinita di cantanti e artisti dello spettacolo.
Lo studio legale preso di mira è il Grubman Shire Meiselas & Sack di Manhattan. L’attacco hacker sembra aver compromesso circa 750 gigabyte di dati relativi alla sua clientela. E ora la minaccia riguarda la condivisione pubblica di tutte queste informazioni private a meno che non venga pagato un riscatto di 21 milioni di dollari. Il sito dello studio risulta offline da sabato mostrando solamente il logo.
Tra tutte le informazioni sottratte ai clienti, ci sono anche informazioni personali e di contatto, contratti e accordi di non divulgazione, numeri di telefono ed e-mail.
Secondo quanto riporta Variety il gruppo di hacker ha già tentato di condividere un assaggio, dalle dimensioni di circa 1 gigabyte, dei documenti trafugati sulla piattaforma Mega. Il servizio di condivisione file ha però prontamente rimosso il payload e eliminato l’account che lo stava condividendo. Per tutta risposta i cybercriminali hanno pubblicato uno screenshot di uno dei contratti di Madonna.
L’attacco sembrerebbe essere stato condotto tramite un ransomware di nome REvil o Sodinokibi. Non è la prima volta che si sente nominare questo ransomware. A gennaio vittima di questo attacco è stato il servizio di cambiavalute Travelex che si è ritrovato a dover pagare un riscatto di 2 milioni di dollari in bitcoin. A marzo è stato il turno di Brooks International, che si è però rifiutata di pagare il riscatto. Di conseguenza sono stati resi pubblici e poi venduti su un forum di hacking, 12 GB di informazioni comprendenti credenziali di login di livello amministrativo e numeri di carte di credito di impiegati di alto livello.
Secondo alcune fonti la pista da seguire per venire a capo di questo attacco, risiederebbe in Europa Orientale. L’FBI sembra che stia indagando sulla violazione, mentre lo studio Grubman Shire Meiselas & Sack ha subito informato i suoi clienti delle informazioni personali potenzialmente compromesse.
Ma facciamo un passo indietro e tentiamo di capire cosa sono i ransomware e come funzionano. Si tratta di tipi di malware in grado di limitare l’accesso ai dati del dispositivo che infettano. In cambio, per rimuovere la limitazione bisogna pagare un riscatto – dall’inglese ransom.
È possibile che alcuni ransomware blocchino completamente il sistema dell’utente, altri invece cifrano i dati dell’utente e li riportano in chiaro solo dopo il riscatto.
Solitamente penetrano nel sistema come dei trojan in seguito a dei file scaricati o vulnerabilità nella rete. Successivamente criptano i file personali presenti sull’hard disk della vittima. I ransomware più sofisticati utilizzano sistemi ibridi di criptazione sui documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa. L’autore del malware è l’unico a conoscere la chiave di decriptazione privata.
In altri casi si tratta invece di applicazioni che limitano l’interazione con il sistema agendo sulla shell di Windows e rendendola non operativa e controllata dal malware stesso.
Una volta che il ransomware è presente nel sistema potrebbero essere mostrate a video false notifiche riconducibili alla polizia federale o altre compagnie che affermano che il sistema è stato usato per attività illegali o che contenga materiale illegale. Altre volte vengono imitate le notifiche di attivazione di Windows affermando che il computer potrebbe montare una distribuzione di Windows contraffatta, che va quindi riattivata.
Queste tattiche forzano l’utente a pagare l’autore del malware per rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal ransomware.
Da quando REvil è stato usato per la prima volta, attorno alla metà del 2019, ha consentito ai criminali di raccogliere un collettivo di 38 milioni di dollari, colpendo circa 150 realtà.
Lo studio legale ha confermato alla BBC di essere stato vittima dell’attacco e di aver notificato i suoi clienti e lo staff e di aver arruolato un team di consulenza competente per affrontare la situazione. E’ stato richiesto un riscatto di 21 milioni di dollari, ma lo studio legale non è intenzionato a soddisfare le richieste dei criminali.
[bquote by = “Grubman Shire Meiselas & Sack”]Siamo stati vittime di un attacco informatico. Abbiamo informato i nostri clienti e il nostro personale. Abbiamo assunto esperti mondiali specializzati in questo settore e stiamo lavorando 24 ore su 24 per affrontare queste questioni. [/bquote]
Tra le star vittime del furto di dati troviamo nomi come Robert De Niro, Barbra Streisand, Mike Tyson, Christina Aguilera, Mariah Carey, Cam Newton, LeBron James, Sofia Vergara, Bruce Springsteen e gruppi musicali come i The Weekend e gli U2. Oltre a grandi nomi dello sport, del cinema e del panorama musicale, lo studio legale ha tra i suoi clienti anche Facebook, Spotify e Activision.