Меню Затваряне

RansomedVC: българинът, който изнудва компании за милиони

Обновена на 26.09.2023 от Questo

Допълнение: На 26 септември 2023 г. RansomedVC обяви, че е хакнала системите на японския гигант Sony и продава данните им на черния пазар. От компанията все още не са потвърдили или отрекли твърденията.

Българин изнудва компании от цял свят, заплашвайки ги, че ще публикува в интернет лични данни на техни клиенти, служители и бизнес партньори. В списъка с изнудваните компании попадат и български фирми, включително застрахователния брокер I&G Brokers и мобилния оператор A1 България.

До средата на септември 2023 г. неизвестното лице, което нарича операцията си RansomedVC, е поискало откупи на обща стойност поне 600 хил. долара. Сумата обаче бързо расте и вече е около 2 млн. долара, защото в списъка с изнудвани компании продължават да се появяват нови и нови имена.

Лицето твърди, че е източило лични данни от сървърите на компаниите и ще ги публикува в интернет, ако не му платят откуп. Исканите суми варират от 8 хил. долара до  200 хил. евро в зависимост от размера на компанията.

“Успешно се сдобихме с всички данни от swipe.bg: онлайн платформа, известна с ниските си цени – се казва в едно от съобщенията, публикувани на сайта на RansomedVC. – Искаме откуп от $50000.”

RansomedVC представя себе си като рансъмуер операция: престъпна група, която пробива информационните системи на организации, криптира и краде данните от сървърите им, а след това иска откуп. Ако не последва плащане, групата публикува данните в интернет.

“Ние сме българи”

RansomedVC се появи на хоризонта в края на август 2023 г. Ден след като Questona публикува статия за дейността на новата рансъмуер група, нейният основател изпрати до редакционната поща следното съобщение:

“Здр. Аз съм оператора на Рансомед.вс, за който скоро написахте статия.

Ние сме българи. ако имате каквите и да е било въпроси, Лмк :)”

Около седмица по-късно на пощата се получи ново съобщение – от друг имейл адрес, но пак подписано от оператора на RansomedVC.

В писмото се съобщаваше, че RansomedVC са пробили информационните системи на застрахователния брокер I&G Brokers и като доказателство публикуват в интернет личните данни на около 2000 клиенти на брокера.

Междувременно списъкът с изнудвани компании на сайта на RansomedVC започна прогресивно да се увеличава. На 29 август се появи съобщение, че RansomedVC разполага с данните на 400 млн. клиенти на застрахователната компания State Farm. Само ден по-късно се появи ново бомбастично твърдение: че са източени данни от сървърите на рейтинговата агенция S&P Global.

Сайтът на RansomedVC в дарк уеб

Справка в сайта на RansomedVC показва, че до момента са поискани откупи на обща стойност поне $600 000 долара. Сумата вероятно е по-голяма, тъй като за част от компаниите не са посочени суми.

Организация

Искан откуп

airelec.bg $8,000.00
pilini.bg $8,000.00
kasida.bg $8,000.00
proxy-sale.com $12,000.00
Linktera $23,000.00
easydentalcare.us $18,000.00
quantinuum.com N/A
laasr.eu $10,000.00
medcenter-tambov.ru $25,000.00
makflix.eu $9,000.00
nucleus.live $18,000.00
wantager.com $10,000.00
Swipe.bg $50,000.00
Balmit Bulgaria $80,000.00
phms.com.au $10,000.00
paynesvilleareainsurance.com $10,000.00
SKF.com $100,000.00
Hawaii Health System N/A
MetroCLub DC N/A
S&P (оригиналната сума е 200 хил. в евро, не долари) $200,000.00
Powersports Marketing N/A
PSM N/A
Metropolitan Club DC N/A
State Farm N/A
Transunion N/A
Jhooker N/A
Optimity.co.uk N/A
I&G Brokers N/A
A1 N/A
Общо (данните са актуални към 12 септември 2023): $599,000.00

В началото на септември основният сайт на RansomedVC изчезна от интернет. Остана само копието на страницата, което се хоства в дарк уеб и е достъпно само през Tor. На него продължиха да се добавят нови имена на компании.

Последните имена са добавени на 10 септември. Сред тях има български компании: airelec.bg, pilini.bg, kasida.bg, swipe.bg, Balmit България (вероятно е правописна грешка и се има предвид веригата магазини Baumit).

Къде са данните?

Въпреки активността на RansomedVC в интернет, около нея остава една голяма въпросителна: къде са данните, които групата твърди, че притежава?

Обикновено рансъмуер групите поставят краен срок за плащане. Ако не получат такова, откраднатите данни се публикуват в интернет или се продават на трети лица.

RansomedVC не поставят такива срокове. Досега са публикували на сайта си само личните данни на около 2000 български физически и юридически лица. Това е единственото солидно доказателство, че разполагат с каквито и да е чужди данни. Твърдят, че са откраднати от сървърите на I&G Brokers и са на клиенти на застрахователния брокер.

Но така ли е наистина?

 

Част от данните, за които RansomedVC твърди, че са на клиенти на застрахователния брокер I&G Brokers

 

Questona потърси за коментар Acrisure – американската компания, която е собственик на I&G Brokers.

От фирмата не отговориха на изпратените по имейл въпроси.

Не получихме отговор и от State Farm – застрахователна фирма, която през 2019 г. призна, че е станала жертва на криптовирус. State Farm също е сочена за жертва на RansomedVC.

Прилики между RansomedVC и Емил Кюлев

Емил Кюлев е псевдонимът на български хакер, който през последните няколко години изнудва български организации от всякакъв калибър. Чрез своята „Държавна агенция за дигитално спокойствие“ той твърдеше, че е източил лични данни от къде ли не: от МВР през спедиторкста компания „Еконт“ до прокуратурата.

Последният удар на Кюлев беше през юли 2023 г., когато заяви, че е източил личните данни на 2.25 млн. българи, които са клиенти на застрахователната компания „Лев инс“. За разлика от предишни случаи, този път той качи в интернет и самите данни като доказателство. Междувременно от „Лев инс“ отхвърлиха твърдението, че системите им са хакнати и че публикуваните от Кюлев данни са на техни клиенти.

Емил Кюлев има навика да промотира всяка своя акция с общ имейл до много български медии; включително и под други псевдоними. Той целенасочено търси медийно внимание и охотно рекламира създадената от него интернет търсачка, в която срещу заплащане може да се направи справка за лични данни на българи.

Прочетете шеметната история на Емил Кюлев и опитите му да изнудва български компании.

Има някои общи черти между методите на RansomedVC и Емил Кюлев.

Най-очевидната прилика е, че подобно на Кюлев и RansomedVC информира медиите за опитите си да изнудва компании. Това е нетипично за повечето рансъмуер групи. Те предпочитат да работят в анонимност и не са проактивни в комуникацията си с медии.

Стилът на изразяване на RansomedVC, както и начина, по който общува с медии, напомня този на Кюлев.

Telegram каналът на RansomedVC – преди да бъде изтрит – се казваше Peace Tax Agency или Агенция за данък „Спокойствие“. Името наподобява „Държавна агенция дигитално спокойствие“ на Емил Кюлев.

Telegram каналът на RansomedVC се казваше Peace Tax Agency, преди да бъде изтрит от платформата. В него активно се набираха нови членове на групата.

Нищо от това не доказва, че основателят на RansomedVC и Емил Кюлев са един и същи човек.

Самият основател на RansomedVC не дава еднозначен отговор. На въпроса: „Потвърждавате ли, че операторът на RansomedVC и Емил Кюлев са едно и също лице?“, отговаря просто с „Ние сме по-добри“.

Той твърди, че мотивите му да изнудва компании са чисто финансови и че преди RansomedVC се е занимавал с „форуми, дарк уеб маркети и много други.“

Прочетете цялото интервю с RansomedVC.

Компютърният рекет – нарастваща заплаха

Рансъмуер групите се превърнаха в една от сериозните заплахи за бизнеса. Използвайки модел на двойно изнудване – от една страна криптират данните на засегнатата организация, а от друга ги копират и ги пускат в интернет – те създават репутационен риск и финансови загуби за компниите.

Структурата на тези групи е сложна и известна с това, че се старае да привлече нови членове с достъп до информационни системи, които да бъдат инфилтрирани. Дейността е организирана като компания за мрежови маркетинг, където рефералите извършват основната работа, а операторите на върха прибират процент от заработената печалба.

От Европол посочват, че „рансъмуер групите и техните афилиейт програми продължават да измъчват международни компании, държавно финансирани организации, критична инфраструктура и организации, предоставящи жизненоважни услуги“.

Същността, способностите и мащаба на RansomedVC остават загадка. Засега за тях можем да съдим само по няколко дръзки твърдения, публикувани на анонимен сайт.

Междувременно основателят на RansomedVC има съвет към организациите, чиито имена предстои да се появят в сайта му: „Купете биткойн докато е време, може да ви е по-евтино.“

ИМАШ ПОЩА!

Веднъж месечно ще изпращаме на имейла ти съвети и истории, които ще ти помогнат да предпазиш данните си.

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *