UPDATE 3: SIAE attacked by Everest ransomware group: first stolen data published in TOR networks

Marco A. De Felice aka amvinfe
siae everest ransomware
Update November 24, 2021 at 6:00 pm

From the website of the Everest ransomware group, news emerges regarding the fate of the data stolen from the SIAE.

Everest, after trying to sell the stolen material by changing its price several times, yesterday made a singular decision: to sell the entire block of data (about 60 GB) at the price of $ 150,000 and donate the entire amount to a benficial foundation. We believe we have never read such a thing before.

It happened in the past to have read instead statements made by some groups, which claimed to have donated small sums of money to nonprofit organizations or foundations related to medical research, but the news given yesterday by Everest displaces a bit all.

Everest also declares, and this is the real news, that the name of the beneficiary can be given both by the buyer and by SIAE itself. The decision by Everest not to want to influence the choice of the name, we think was taken to avoid speculation of any kind.

… The data will be transferred to the one who makes a donation to the official charitable foundation. Whether the company or someone else will do it doesn’t matter. The offer is relevant only for this data. I do not give comments, I consider only suggestions

Donation amount from 150k $

Meanwhile, the investigations by the Data Protection Authority, to understand whether or not there have been negligence on the part of the SIAE, continue. In a reply e-mail, Everest had told us that access to the SIAE intranet took place several months before the publication of the news then given by the same group on its website.

In the same reply e-mail he also reported to us the very bad, disconcerting conditions regarding data protection implemented by those who managed the SIAE networks.

I had access for half a year, I accidentally found that they store all their documents this way. This shocked me a little, I often meet with the carelessness of companies, but this is the first time. I had full access to edit the intranet

We will continue to follow the story by updating it in case of new details

Update 24 Novembre 2021 ore 18:00

Dal sito web del gruppo ransomware Everest emergono novità riguardo il destino dei dati sottratti alla SIAE.

Everest, dopo aver cercato di vendere il materiale sottratto cambiando più volte, al ribasso, il suo prezzo, ieri ha preso una decisione singolare: vendere tutto il blocco di dati (circa 60 GB) al prezzo di 150.000 $ e donare l’intera cifra a una fondazione benfica. Crediamo di non aver mai letto prima una cosa del genere.

E’ successo in passato d’aver letto invece dichiarazioni fatte da alcuni gruppi, i quali sostenevano d’aver donato piccole somme di denaro a favore di organizzazioni nonprofit o fondazioni legate alla ricerca medica, ma la notizia data ieri da Everest spiazza un po’ tutti.

Everest dichiara inoltre, ed è questa la vera novità, che il nome del beneficiario potrà essere fatto sia dal compratore che dalla stessa SIAE. La decisione da parte di Everest di non voler condizionare la scelta del nome, pensiamo sia stata presa per evitare speculazioni di qualunque genere.

… The data will be transferred to the one who makes a donation to the official charitable foundation. Whether the company or someone else will do it doesn’t matter. The offer is relevant only for this data. I do not give comments, I consider only suggestions

Donation amount from 150k$

Intanto le indagini da parte del Garante per la protezione dei dati, per capire se vi siano state o meno negligenze da parte della SIAE, proseguono. In una e-mail di replica Everest ci aveva dichiarato che l’accesso all’interno della intranet SIAE era avvenuto diversi mesi prima della pubblicazione della notizia data poi dallo stesso gruppo all’interno del proprio sito web.

Nella stessa e-mail di risposta ci aveva inoltre segnalato le pessime, sconcertanti condizioni riguardo la protezione dei dati attuate da chi gestiva le reti SIAE

I had access for half a year, I accidentally found that they store all their documents this way. This shocked me a little, I often meet with the carelessness of companies, but this is the first time. I had full access to edit the intranet

Continueremo a seguire la vicenda aggiornandola in caso di nuovi dettagli

UPDATE October 22, 2021 AT 7:15 pm

Did Everest really send emails and text messages to artists asking for a ransom of 10 thousand euros in bitcoin?

For several hours, several online newspapers have been reporting the news of a change by the Everest ransomware group regarding the management of data stolen from the SIAE. Indeed, there has been a change of pace by cybercriminals, but some things published in the newspapers are not entirely correct.

Let’s go in order.

Everest two days ago had published on his blog, within the TOR networks, a first post where he communicated the cyber attack to the SIAE. The post described the type of documents exfiltrated, and more time was given to the SIAE to decide whether or not to pay the ransom.

In the following hours Gaetano Blandini, SIAE General Manager, gave interviews where he stated that the ransom would never be paid.

Today, the ransomware group has decided to change its strategy: Everest will put all data for sale at a price of $ 500,000. In the new message published on his blog you can also read the offer that cybercriminals make indirectly to artists

Representatives of celebrities, you can contact me and redeem all the data. One-hand sale, after the sale the data is deleted.

So far the chronicle of the facts is correct.

Then there is the news that has been circulating for hours on the various newspapers according to which Everest is sending emails and text messages to the various artists affected by the data breach asking for 10 thousand euros in bitcoin to redeem their data, in the sms there is also a number real estate of bitcoin wallets right now with no transactions.

UPDATE 3: SIAE attacked by Everest ransomware group: first stolen data published in TOR networks 1

We wanted to contact Everest directly to understand if the facts are really those told by the various newspapers, we also asked for confirmation on the type of data exfiltrated during the cyber attack and if there were really also credit cards and IBAN codes.

This was the answer they gave us

No, I’m not ransom money from artist. 2gb were posted for free.

Buyer not found

Credit cards and iban are present

We can confirm that the 2 GB of documents are currently online and downloadable by anyone, especially think of other groups of cybercriminals who will be able to resell them or use them in the future for phishing campaigns or possible identity theft.

Further confirmation that we can give is that among the 2 GB of documents published in the TOR network there are passports, identity cards, health cards, telephone numbers, emails, personal addresses, IBAN codes of many Italian artists of entertainment, music, of the theater, many of which are famous not only in Italy.

What will they say once they see their data published? What will they say when some ill-intentioned uses their data?

SuspectFile considers the behavior of the SIAE to be correct and unexceptionable. Paying the ransom would have fueled cybercrime. However, we believe that the SIAE has enormous responsibilities regarding the bad management and protection of sensitive data of all the people who will be directly or indirectly involved, in spite of themselves.

We hope that the police bodies will be able to clarify the matter as soon as possible, but we also hope for an immediate intervention by the Privacy Guarantor.

 

Anyone wishing to deny / clarify what is reported in this update or the article published yesterday, can do so by contacting us on our email or through one of the social channels.

The article will be updated in case of new details.

UPDATE October 21, 2021 AT 12:15 pm

As the hours go by, new and worrying details emerge on the data breach that involved the SIAE (Italian Society of Authors and Publishers).

While we await a comment from the SIAE, last night in a first email the Everest ransomware group let us know that it had nothing to add to what we had reported in our article, except the confirmation of being in possession of a large number of documents

Hello, I can’t add anything, everything is listed on the blog. A large number of documents and personal data have been lost

This morning we contacted Everest again asking for further details on the cyber attack on the SIAE infrastructures, we were interested in understanding what methods they had used to enter the IT systems. We also asked for more information about the data exfiltrated from the company’s servers.

Everest replied that their stay in the computer systems lasted 6 months, therefore a considerable time that certainly allowed them to have full access to all the documentation present in the databases and to modify the entire intranet, such as the same spokesman confirmed to us.

In his email Everest also wanted to let us know that  discovery about the methods of data storage used by the SIAE occurred by chance, he also wanted to underline the neglect of data protection by the company. In the past he had often seen badly managed data from the companies he had hit, but the data management used by SIAE literally shocked him.

I had access for half a year, I accidentally found that they store all their documents this way. This shocked me a little, I often meet with the carelessness of companies, but this is the first time. I had full access to edit the intranet

From the research carried out by SuspectFile, further details emerge also regarding the people affected by the data theft, among these there are also illustrious names of Italian pop music. Just as there are other types of documents in the hands of cybercriminals numero.EstensioneDOR.anno.pdf”,numero.Limitazione.diritti.anno.pdf”numero.Variazione.Recapiti.anno.pdf”numero.Modulo.Estensione.anno.pdf”numero.Aggiornamentoanagrafica.anno.pdf” , numero.EstensioneLirica.anno.pdf”  documents often contain paper / electronic identity cards or passports.

SuspectFile will neither publish nor share these documents with anyone, which can instead be sent, if requested, to the police bodies that are investigating this case.

Anyone wishing to deny / clarify what is reported in this update or the article published yesterday, can do so by contacting us on our email or through one of the social channels.

The article will be updated in case of new details.

ATTACK ON THE IT SYSTEMS OF THE ITALIAN SOCIETY OF AUTHORS AND PUBLISHERS (SIAE) BY THE RANSOMWARE EVEREST GROUP. THE POSTAL POLICE, THROUGH CNAIPIC (NATIONAL COMPUTER CRIME CENTER FOR THE PROTECTION OF CRITICAL INFRASTRUCTURE), IS INVESTIGATING THE ENDURANCE.

According to the post published on its blog, the ransomware group has exfiltrated no less than 60 GB of sensitive data from the servers of the Italian public economic body such as identity cards, health cards, driving licenses, credit card numbers, bank accounts. , works by associated authors …siae

Everest, to avoid the publication of the 28 thousand data exfiltrated by the SIAE servers, would have asked for a ransom equal to 3 million euros in bitcoin (source Ansa).

In a statement released to Ansa, the General Manager Gaetano Blandini stated that the SIAE will not pay any ransom to cybercriminals and that a notice has already been forwarded to both the Postal Police and the Privacy Guarantor.

Blandini also adds that all the people involved in the data theft will be promptly informed and that the affair will be monitored constantly, in order to secure the data of SIAE members.

Before the publication of this article SuspectFile.com wrote an email to the SIAE General Manager Gaetano Blandini, the SIAE Press Office and the Everest ransomware group asking for a statement on the matter.

We have not received any responses at the moment. The article will be updated in case of new items.

Aggiornamento del 22.10.2021 ore 19:15

Davvero Everest invia email e sms agli artisti chiedendo un riscatto di 10 mila euro in bitcoin?

Da alcune ore diverse testate giornalistiche online riportano la notizia di un cambiamento da parte del gruppo ransomware Everest riguardo la gestione dei dati sottratti alla SIAE. Effettivamente un cambio di passo da parte dei cybercriminali c’è stato, ma alcune cose pubblicate dai giornali non sono del tutto corrette.

Andiamo con ordine.

Everest due giorni fa aveva pubblicato sul proprio blog, all’interno delle reti TOR, un primo post dove comunicava l’attacco informatico alla SIAE. Nel post venivano descritti il tipo di documenti esfiltrati, inoltre veniva dato ulteriore tempo alla SIAE per decidere se pagare o meno il riscatto.

Nelle ore successive Gaetano Blandini, Direttore Generale SIAE, rilasciava interviste dove affermava che il riscatto non sarebbe stato mai pagato.

Oggi il gruppo ransomware ha deciso di cambiare strategia: Everest metterà tutti i dati in vendita a un prezzo di 500 mila dollari. Nel nuovo messaggio pubblicato sul proprio blog si può leggere anche l’offerta che i cybercriminali fanno indirettamente agli artisti

Representatives of celebrities, you can contact me and redeem all the data. One-hand sale, after the sale the data is deleted.

Fin qui la cronaca dei fatti è corretta.

Poi c’è la notizia che circola da ore sulle varie testate giornalistiche secondo la quale Everest starebbe inviando email e sms ai vari artisti colpiti dal data breach chiedendo 10 mila euro in bitcoin per riscattare i propri dati, nell’sms è presente anche un numero reale di portafogli bitcoin in questo momento privo di transazioni.

UPDATE 3: SIAE attacked by Everest ransomware group: first stolen data published in TOR networks 1

Abbiamo voluto contattare direttamente Everest per capire se i fatti sono realmente quelli raccontati dalle varie testate giornalistiche, abbiamo anche chiesto la conferma sulla tipologia dei dati esfiltrati durante l’attacco informatico e se ci fossero realmente anche carte di credito e codici IBAN.

Questa è stata la risposta che ci hanno dato

No, I’m not ransom money from artist. 2gb were posted for free.

Buyer not found

Credit cards and iban are present

Possiamo confermare che i 2 GB di documenti sono in questo momento online e scaricabili da chiunque, pensiamo soprattutto ad altri gruppi di cybercriminali che potranno rivenderli o usarli in futuro per campagne di phishing o possibili furti d’identità.

Ulteriore conferma che possiamo dare è che fra i 2 GB di documenti pubblicati nella rete TOR sono presenti passaporti, carte d’identità, tessere sanitarie, numeri di telefono, email, indirizzi anagrafici, codici IBAN di tantissimi artisti italiani dello spettacolo, della musica, del teatro, molti dei quali famosi non solo in Italia.

Cosa diranno una volta che vedranno pubblicati i propri dati? Cosa diranno quando qualche male intenzionato utilizzerà i propri dati?

SuspectFile ritiene corretto, ineccepibile il comportamento tenuto dalla SIAE. Pagare il riscatto avrebbe significato alimentare il crimine informatico. Riteniamo però che la SIAE abbia enormi responsabilità riguardo la pessima gestione e protezione dei dati sensibili di tutte le persone che verranno, loro malgrado, direttamente o indirettamente coinvolte.

Speriamo che gli organi di Polizia possano fare quanto prima chiarezza sulla vicenda, ma speriamo anche in un immediato intervento del Garante per la Privacy.

 

Chiunque volesse fare smentite/precisazioni su quanto riportato in questo aggiornamento o sull’articolo pubblicato ieri, lo può fare contattandoci sulla nostra email o attraverso uno dei canali social.

L’articolo verrà aggiornato in caso di nuovi dettagli.

Aggiornamento del 21.10.2021 ore 12:15

Con il passare delle ore emergono nuovi e preoccupanti dettagli sul data breach che ha vista coinvolta la SIAE (Società Italiana degli Autori ed Editori).

Mentre rimaniamo in attesa di un commento da parte della SIAE, ieri sera in una prima email il gruppo ransomware Everest ci ha fatto sapere che non aveva nulla da aggiungere su quanto avevamo riportato nel nostro articolo, se non la conferma d’essere in possesso di un numero consistente di documenti

Hello, I can’t add anything, everything is listed on the blog. A large number of documents and personal data have been lost

Questa mattina abbiamo contatto nuovamente Everest chiedendo ulteriori dettagli sull’attacco informatico alle infrastrutture della SIAE, ci interessava capire quali modalità avessero usato per introdursi all’interno dei sistemi IT. Abbiamo chiesto anche maggiori informazioni riguardo i dati esfiltrati dai server della società.

Everest ci ha risposto che la loro permanenza all’interno dei sistemi informatici è durata 6 mesi, quindi un tempo notevole che gli ha sicuramente permesso d’avere un pieno accesso a tutta la documentazione presente nei database e di modificare l’intera intranet, come lo stesso portavoce ci ha confermato.

Nella sua email Everest ha voluto anche farci sapere che la scoperta riguardo le modalità dell’archiviazione dei dati usata dalla SIAE è avvenuta per caso, ha voluto inoltre sottolineare la noncuranza della protezione dei dati da parte dalla società romana. In passato gli era capitato spesso di vedere dati mal gestiti dalle aziende che aveva colpito, ma la gestione dei dati utilizzata dalla SIAE lo ha letteralmente scioccato.

I had access for half a year, I accidentally found that they store all their documents this way. This shocked me a little, I often meet with the carelessness of companies, but this is the first time. I had full access to edit the intranet

Dalle ricerche effettuate da SuspectFile emergono ulteriori dettagli anche riguardo le persone colpite dal furto dei dati, fra queste ci sono anche nomi illustri della musica leggera italiana. Così come esistono altri tipi di documenti nelle mani dei cybercriminali numero.EstensioneDOR.anno.pdf”,numero.Limitazione.diritti.anno.pdf”numero.Variazione.Recapiti.anno.pdf”numero.Modulo.Estensione.anno.pdf”numero.Aggiornamentoanagrafica.anno.pdf” , numero.EstensioneLirica.anno.pdf”  nei documenti spesso sono presenti carte d’identità cartacee/elettroniche o passaporti.

SuspectFile nè pubblicherà, nè condividerà mai con alcuno questi documenti che potranno essere invece inviati, qualora richiesti, agli organi di Polizia che stanno indagando su questo caso.

Chiunque volesse fare smentite/precisazioni su quanto riportato in questo aggiornamento o sull’articolo pubblicato ieri, lo può fare contattandoci sulla nostra email o attraverso uno dei canali social.

L’articolo verrà aggiornato in caso di nuovi dettagli.

Attacco ai sistemi IT della Società Italiana degli Autori ed Editori (SIAE) da parte del gruppo ransomware Everest. La Polizia Postale, attraverso il CNAIPIC (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche), sta indagando sulla vicenda.

Stando al post pubblicato sul proprio blog, il gruppo ransomware avrebbe esfiltrato non meno di 60 GB di dati sensibili dai server dell’ente pubblico economico italiano come carte d’identità, tessere sanitarie, patenti di guida, numeri delle carte di credito, conti bancari, opere degli autori associati…

siae

Everest, per evitare la pubblicazione dei 28 mila dati esfiltrati dai server SIAE, avrebbe chiesto un riscatto pari a 3 milioni di euro in bitcoin (fonte Ansa).

In una dichiarazione rilasciata all’Ansa, il Direttore Generale Gaetano Blandini ha affermato che la SIAE non pagherà alcun riscatto ai cybercriminali e che un’informativa è stata già inoltrata sia alla Polizia Postale che al Garante per la Privacy.

Blandini inoltre aggiunge che tutte le persone coinvolte dal furto dei dati verranno prontamente informate e che la vicenda verrà monitorata in maniera costante, questo per mettere in sicurezza i dati degli iscritti della SIAE.

Prima della pubblicazione di questo articolo SuspectFile.com ha scritto una email al Direttore Generale SIAE Gaetano Blandini, all’Ufficio Stampa SIAE e al gruppo ransomware Everest chiedendo una dichiarazione sulla vicenda.

Al momento non abbiamo ricevuto risposte. L’articolo verrà aggiornato in caso di nuovi elementi.