World's largest illegal dark web marketplace taken down

Russian hackers infiltrate Apple … Will the company fulfill their demands?

April 25, 2021

Less than a minute

قراصنة روس يخترقون آبل .. هل تنفذ الشركة مطالبهم؟

English
العربية

cnbc

The ransom note was both taunting and ominous: “Today we, the REvil Group, will provide data on the upcoming releases of the company beloved by many,” the criminal hackers wrote.

In the note posted on the dark web the group told the world it hacked an Apple supplier called Quanta Computer and wanted $50 million in ransom or else it would release sensitive internal documents. “Tim Cook can say thank you Quanta,” wrote REvil.

The extortion attempt, which came early this week, represented a significant escalation for a well-known hacker collective. And experts tell CNBC it may presage a new era of emboldened ransomware attackers who are protected by Russian leader Vladimir Putin and empowered to take on the biggest companies in the world.

Cybersecurity experts in the U.S. say the group has a long rap sheet of criminal activity against Western companies. Their analysis suggests REvil — pronounced like the letter “R” followed by the word “evil” — is largely made up of native Russian speakers and is likely located in a former Soviet state. Whoever they are, they have a taste for dark humor: REvil posts its stolen documents on a site on the dark web that it calls “Happy Blog.”

“We know that they are protected most likely by Russian intelligence or the Russian government, as are most ransomware groups, which has allowed them to flourish over the last 18 months,” said Marc Bleicher of Arete Incident Response, a cybersecurity firm that specializes in negotiations with criminal hackers. Bleicher says his firm has dealt with REvil 32 times in just the past 90 days.

“I think, you know, based on what we’ve seen so far, this may be just the tip of the iceberg over the last few months, and what you’re going to start to see is organizations that are of the same size and stature as Apple,” Bleicher said.

That means more CEOs need to brace for ransomware impact and for REvil’s shockingly direct intimidation tactics. Bleicher said one signature of the group is stealing a CEO’s personal cellphone number from company computers and then repeatedly calling that CEO to taunt him or her personally about the loss of data and to demand huge payouts.

Bleicher’s firm has analyzed 173 previous REvil attacks and says it can see some patterns in how the gang operates. One thing becomes clear: Attacking Apple by name — and demanding $50 million — is on a much different scale from what REvil has operated on in the past. Thirty-one percent of the companies attacked by the group have been in professional services, not technology, Arete found. Nineteen percent have been in health care, and 16% in manufacturing.

The average ransom demand has also been much lower in the past, Arete found, at just under $728,000. After negotiations over the price, the average ransom actually paid is even lower than that: Just over $129,000.

It’s a remarkably business-like operation, complete with customer service desks, software support teams and even a Craigslist-style marketplace to recruit new hackers to the enterprise.

Bleicher provided CNBC with one jobs posting for REvil that he found on the dark web. Written in Russian, it says: “We have 1 position for a person that gains accesses to networks, that already have active accesses. Monday we’ll announce one of our largest attacks. We work 24×7. We are stable. We make money — a lot of money. We are waiting for you in our direct message.”

Charles Carmakal, a senior vice president at the cybersecurity firm FireEye, said his rough estimate is the gang has collected a total of $100 million so far. That means a $50 million ransom would be an enormous step up for the group.

But everything in this criminal underworld is negotiable.

“I have seen other organizations being asked for $50 million,” Carmakal said. “Nobody really realistically pays that much money. They’ll try to negotiate it down to a number that is a little bit more reasonable and doable if they do decide to pay.”

Carmakal said the huge ransom demand and high-profile target in this case may be more about getting attention — and scaring future victims — than it is about this one case. One possibility is the high-profile taunting and ransom note were only made public after a private negotiation that didn’t end well from the hacker’s point of view. So now they’re leveraging that for publicity and intimidation.

“These groups tend to amplify their messages and try to coerce victims, usually after they don’t feel like the victim is willing to pay,” Carmakal said.

But why are companies sending these huge payments to criminal gangs at all? Carmakal said firms look at the scale of the potential damage and often conclude they have no choice.

“A lot of organizations feel compelled to pay because they don’t want that data to get out there,” he said. “They feel that they’ve got an obligation to their shareholders or partners or to the customer to prevent that data from making its way out onto the open market.”

The latest REvil attack is still in play. The gang demanded payment from Apple by May 1 and said it would release more data every day. So far, though, no further Apple data has been dumped on the dark web.

That could be one indication, experts say, that ransom payment negotiations are already underway.

الجزيرة

نشرت شبكة “سي إن بي سي” (CNBC) الأميركية تقريرا نقلت فيه عن مصادر داخل “آبل” (Apple) تعرضها للابتزاز من قبل مجموعة قراصنة بعد سرقة ملفات خطيرة حول صناعة منتجاتها.

وأعلنت مجموعة القرصنة المعروفة بـ”ريفيل” (REvil) عبر مذكرة منشورة على شبكة الإنترنت أنها اخترقت موردا لمعدات شركة آبل يدعى “كوانتا كمبيوتر” (Quanta Computer)، وطالبت بفدية بقيمة 50 مليون دولار وإلا فإنها ستنشر مستندات داخلية حساسة.

وتمثل محاولة الابتزاز -التي جاءت في وقت مبكر من هذا الأسبوع- تصعيدا كبيرا لمجموعة قراصنة معروفة.

ويقول الخبراء لشبكة “سي إن بي سي” إنها قد تنذر بعهد جديد من مهاجمي برامج الفدية الجريئين والذين يحتمون بروسيا ويتمتعون بالسلطة لمواجهة أكبر الشركات في العالم.

وتعتبر تلك العصابة من المخترقين واحدة من أخطر 10 منظمات جرائم إلكترونية في العالم، ومعروفة باختراقها شركات كبرى حول العالم، والمطالبة بفدية تكون عادة عبارة عن عملات “بتكوين”.

ويقول خبراء الأمن السيبراني في الولايات المتحدة إن المجموعة لديها قائمة طويلة من النشاط الإجرامي ضد الشركات الغربية.

ويشير تحليلهم إلى أن مجموعة القرصنة “ريفيل” تتكون إلى حد كبير من متحدثين باللغة الروسية، ومن المحتمل أنها تقع في دولة سوفياتية سابقة.

وبغض النظر عن هويتهم فإنهم ينشرون مستنداتهم المسروقة على موقع على الويب يطلق عليه “هابي بلوغ” (Happy Blog).

وقال مارك بليشر -من شركة “آرتي إنسيدنت ريسبونس” (Arete Incident Response) -وهي شركة للأمن السيبراني متخصصة في المفاوضات مع القراصنة المجرمين- إن شركته تعاملت مع حوادث لمجموعة “ريفيل” 32 مرة في الـ90 يوما الماضية فقط.

وأضاف “أعتقد -كما تعلمون- استنادا إلى ما رأيناه حتى الآن أن هذا قد يكون مجرد غيض من فيض خلال الأشهر القليلة الماضية، وما سنبدأ في رؤيته قريبا هو ضحايا من مؤسسات لها نفس الحجم والمكانة مثل آبل”.

وقامت شركة “بلايشير” (Bleicher) للاستشارات الأمنية بتحليل 173 هجوما سابقا للمجموعة، وتقول إنها يمكن أن ترى بعض التغيير في نمط عمل العصابة.

وترى الشركة أن مهاجمة آبل بالاسم والمطالبة بـ50 مليون دولار تختلفان كثيرا عما عملته “ريفيل” في الماضي، فقد وجدت أن 31% من الشركات التي هاجمتها المجموعة تعمل في مجال الخدمات المهنية وليس التكنولوجيا.

كما وجدت “بلايشير” أن متوسط طلب الفدية كان أيضا أقل بكثير في الماضي، حيث كان أقل بقليل من 728 ألف دولار، وبعد مفاوضات حول السعر يكون متوسط الفدية المدفوعة بالفعل أقل من ذلك.

وترى شركة الاستشارات الأمنية أنها عملية احترافية يقوم بها متخصصون في عدة مجالات، من فرق خدمة العملاء وفرق دعم البرامج وحتى سوق لتجنيد متسللين جدد في المؤسسة.

وقامت “بلايشير” بتزويد قناة “سي إن بي سي” بإعلان مكتوب باللغة الروسية عن وظيفة شاغرة لمجموعة “ريفيل” وجدتها على شبكة الإنترنت المظلمة.

ويقول الإعلان “لدينا منصب واحد لشخص يمكنه الوصول إلى الشبكات التي لديها بالفعل وصول نشط، الاثنين سنعلن واحدة من أكبر هجماتنا، نحن نعمل على مدار الساعة طوال أيام الأسبوع، نحن مستقرون، نحن نجني المال، الكثير من المال، نحن في انتظارك، ابعث رسالة مباشرة”.

وقال تشارلز كارماكال نائب الرئيس الأول في شركة “فاير آي” (FireEye) للأمن السيبراني إن تقديره التقريبي هو أن العصابة جمعت ما مجموعه 100 مليون دولار حتى الآن، وهذا يعني أن فدية قدرها 50 مليون دولار ستكون خطوة هائلة للمجموعة، لكن كل شيء في هذا العالم السفلي الإجرامي قابل للتفاوض.

وأضاف كارماكال “لقد رأيت منظمات أخرى تطلب 50 مليون دولار، لا أحد يدفع بشكل واقعي هذا القدر من المال، سيحاولون التفاوض بشأنه وصولا إلى رقم معقول وقابل للتنفيذ إلى حد ما إذا قرروا الدفع”.

وقال إن طلب فدية بهذا المبلغ الهائل هدفه جذب الانتباه وإخافة الضحايا في المستقبل أكثر من كونه يتعلق بالمال.

وأحد الاحتمالات التي تظهرها السخرية البارزة في مذكرة الفدية أنه كانت هناك مفاوضات خاصة لم تنته بشكل جيد من وجهة نظر المخترق، لذا فهم الآن يستغلون ذلك من أجل الدعاية والترهيب.

واستطرد كارماكال “تميل هذه المجموعات في العادة إلى تضخيم رسائلها ومحاولة إكراه الضحايا بعد أن تشعر أنهم غير مستعدين للدفع”.

لكن، لماذا ترسل الشركات هذه المدفوعات الضخمة إلى العصابات الإجرامية على الإطلاق؟ في هذا الشأن قال كارماكال إن الشركات تنظر في حجم الضرر المحتمل وتخلص في كثير من الأحيان إلى أنه ليس لديها خيار آخر “تشعر الكثير من المنظمات بأنها مضطرة للدفع لأنها لا تريد أن تظهر تلك البيانات”.

وأضاف “إنهم يشعرون أن لديهم التزاما تجاه مساهميهم أو شركائهم أو تجاه العميل لمنع تلك البيانات من شق طريقها إلى السوق المفتوح”.

وطالبت العصابة شركة آبل بالدفع بحلول الأول من مايو/أيار المقبل، وقالت إنها ستصدر المزيد من البيانات كل يوم، ولكن حتى الآن لم يتم نشر أي بيانات أخرى عن آبل على شبكة الإنترنت المظلمة.

وقد يكون هذا مؤشرا -كما يقول الخبراء- على أن مفاوضات دفع الفدية جارية بالفعل.