Días después de que la compañía que gestiona los derechos de celebridades que representa entre otros a figuras como Madonna, Bruce Springsteen y a Nicki Minaj admitiera que fue “víctima de un ciberataque”, los hackers que ejecutaron dicho ataque liberaron su primer lote de información robada el a mediados del pasado mayo difundiendo documentos de trabajo de la firma con Lady Gaga.
El desconocido grupo de hackers lanzó el ciberataque contra los sistemas de información interna de Grubman Shire Meiselas & Sacks utilizando un ransomware llamado “REvil”; el miércoles exigieron a la empresa 21 millones de dólares a cambio de 756 gigabytes de información robada. Sin embargo, después de que la firma contratase especialistas en ciber-extorsión para combatir las demandas por el ransomware, los hackers soltaron un lote de 2.4 gigabytes en documentos el jueves.
“Parece ser que GRUMBANS no se preocupa por sus clientes, o fue un error contratar a una compañía para ayudar en las negociaciones” escribieron los hackers. “Tal y como habíamos prometido, publicamos la primera parte de la información debido a que se ya se había acabado el tiempo”. Una fuente cercana a la firma confirmó a Rolling Stone que la compañía se negó a pagar cualquier extorsión.
La “primera parte” fue una carpeta de 2.4 gigabytes con información legal acerca del trabajo que la firma hizo para Lady Gaga: Contratos enviados a productores, colaboradores y miembros de sus equipos de tour, acuerdos promocionales, hojas de gastos, formas de acuerdos de confidencialidad, acuerdos de presentaciones, formas de reembolso para el artista Jeff Koons, una serie de fotos promocionales, y una gran cantidad de papeles que uno esperaría encontrar en la base de datos de una firma de derechos dentro de la industria del entretenimiento (Un representante de Lady Gaga se negó a hacer comentarios al respecto).
Poco tiempo después de que los hackers liberasen los 2.4 gigabytes de información, emitieron un pequeño “comunicado de prensa” diciendo que sus demandas no han sido satisfechas y que ahora “la extorsión es de 42 millones de dólares”. También afirmaron estar en posesión de documentos conectados con el Presidente Trump.
“Existe una carrera hacia las elecciones, y hemos encontrando muchas cosas sucias. Señor Trump, si quieres mantenerte como presidente, presiónalos, porque de lo contrario puedes olvidarte de esta ambición para siempre” escribieron. “Y para tus votantes, podemos decirles que después de tal publicación no van a querer verte más como presidente. Bueno, no entremos en detalles. La fecha tope es una semana”. Sin embargo, una fuente cercana a la firma confirmó que ésta no posee relaciones con Trump.
“Nuestras elecciones, nuestro gobierno y nuestra información personal están bajo crecientes ataques por parte de cibercriminales desconocidos. Las firmas legales no son inmunes a esa actividad maliciosa” dijo un portavoz de Grubman Shire Meiselas & Sacks told Rolling Stone en una declaración.
“A pesar de nuestra inversión sustancial para alcanzar seguridad tecnología de vanguardia, ciberterroristas desconocidos han hackeado dentro de nuestra red y están demandando 42 millones de dólares como extorsión. Estamos trabajando directamente con la aplicación de la ley federal y continuamos trabajando a todas horas con los mejores expertos del mundo para solventar esta situación”.
“La filtración de los documentos de nuestros clientes es un despreciable e ilegal ataque perpetrado por estos desconocidos ciberterroristas, quienes ganan dinero al intentar extorsionar compañías de alto perfil de Estados Unidos además de entidades del gobierno, artistas, políticos y demás” añadió el representante. “Hemos sido informados por los expertos y por el FBI que negociar o pagar una extorsión a los terroristas es una violación a la ley federal. Incluso cuando han sido pagadas grandes cantidades de dinero, los criminales suelen publicar los documentos de igual manera”.
“Adhiriéndonos a la práctica estándar del Departamento de Justicia, el FBI no confirma ni niega la existencia de ninguna investigación. No tenemos más comentarios que hacer al respecto”. Comenta un portavoz según se recoge en Rolling Stone.
Anterior a la filtraciiones, el grupo del ransomware sólo reveló tres documentos relacionados al ciberataque: un documento con la firma de Christina Aguilera, un contrato relacionado con el tour Madame X de Madona, y un acuerdo del tour de Lizzo. El sitio web de Grubman Shire Meiselas & Sacks sólo ha mostrado el logo de la firma desde el día que ocurrió el ataque del ransomware.
Brett Callow, el analista de amenazas de Emsisofts, una compañía de antivirus, dijo a Rolling Stone que la opción principal de la firma para recuperar su información es restaurando sus back ups– si es que todavía existen y los hackers no los han borrado – o pagar la extorsión, siendo que 42 millones de dólares es la extorsión más costosa que ha existido hasta la fecha.
“Esta es una situación donde siempre va a perder o la firma o los clientes” dice Callow a Rolling Stone.
“Si la firma no le paga a los criminales, es probable que más información sea publicada. Si la firma paga, entonces va a recibir una promesa de que la información robada va a ser destruida. Pero, ¿por qué un criminal de ese calibre eliminaría información que podría seguir utilizando para ganar dinero, especialmente si esa información puede ser muy valorada en el mercado?” Por ejemplo, no hay nada que evite que los hackers alcancen un acuerdo con la firma, sólo para que poco tiempo después extorsionen de nuevo a sus clientes con la información robada.
Emsisoft estima que el ransomware sustrae cerca de 1.900 millones de dólares de manera anual a las víctimas de Estados Unidos; a nivel global, esa cifra asciende a 25.000 millones de dólares.
“El Ransomware es muy rentable”, dice Callow, añadiendo que “el 25% de todos los tipos de ransomware tienen una encriptación defectuosa que nos permiten romperla, de manera que podemos recuperar la información de vuelta. La encriptación de REvil está perfectamente implementada de una forma que no puede ser rota”.
Sin embargo, esos ciberataques usualmente evitan el escrutinio público – usualmente se realizan de forma privada entre dos entes, sin informar a aquellos cuya información personal ha sido comprometida – pero la situación involucrando a la firma de Grubman y sus clientes de alto perfil han magnificado el problema del ransomware.
“Pienso que es posible que sea la única negociación de ransomware que ha llegado a tomar lugar en ese nivel de escrutinio público” dice Callow. “En cierta forma, esto es algo bueno. Eso podría darnos una mayor compresión del problema. Es un gran problema. Existen muchas organizaciones que roban y publican información. Han robado información de bancos, los números de las tarjetas de crédito de muchas personas están en línea, retornos de impuestos, registros médicos, esquemas de misiles… Lo que sea que puedas imaginarte ya está online. Y muchas personas no tienen idea de que eso es así”.
Callow añade: “Las compañías deben hacer mucho más para proteger su información, la información de sus clientes y la información de sus socios”.
La declaración completa de Grubman Shire Meiselas & Sacks
“Nuestras elecciones, nuestro gobierno y nuestra información personal están bajo crecientes ataques por parte de cibercriminales desconocidos. Las firmas legales no son inmunes a esa actividad maliciosa. A pesar de nuestra inversión substancial para alcanzar seguridad tecnología de vanguardia, ciberterroristas desconocidos han hackeado dentro de nuestra red y están demandando 42 millones de dólares como extorsión. Estamos trabajando directamente con la aplicación de la ley federal y continuamos trabajando a todas horas con los mejores expertos del mundo para solventar esta situación”.
“La filtración de los documentos de nuestros clientes es un despreciable e ilegal ataque perpetrado por estos desconocidos ciberterroristas, quienes ganan dinero al intentar extorsionar compañías de alto perfil de Estados Unidos además de entidades del gobierno, artistas, políticos y demás. Previamente, el Departamento de Defensa de Estados Unidos, la HBO, Goldman Sanchas, en conjunto con un gran número de estados y gobiernos locales, han sido víctimas de ciberataques similares”.
“Hemos sido informados por los expertos y por el FBI que negociar o pagar una extorsión a los terroristas es una violación a la ley federal. Incluso cuando grandes cantidades de dinero han sido pagadas, los criminales suelen publicar los documentos de igual manera”.
“Estamos agradecidos con nuestros clientes por su increíble apoyo y por reconocer que nadie está a salvo del ciberterrorismo en la actualidad. Continuamos representando a nuestros clientes con la mejor profesionalidad acorde a su nivel de élite, ejerciendo la calidad, integridad y excelencia que nos han convertido en la principal firma legal de entretenimiento y medios en el mundo”.