Добавить новость
ru24.net
News in English
Календарь
Январь
2024
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Who is Alleged Medibank Hacker Aleksandr Ermakov?

0
Krebs on Security 

Authorities in Australia, the United Kingdom and the United States this week levied financial sanctions against a Russian man accused of stealing data on nearly 10 million customers of the Australian health insurance giant Medibank. 33-year-old Aleksandr Ermakov allegedly stole and leaked the Medibank data while working with one of Russia’s most destructive ransomware groups, but little more is shared about the accused. Here’s a closer look at the activities of Mr. Ermakov’s alleged hacker handles.

Aleksandr Ermakov, 33, of Russia. Image: Australian Department of Foreign Affairs and Trade.

The allegations against Ermakov mark the first time Australia has sanctioned a cybercriminal. The documents released by the Australian government included multiple photos of Mr. Ermakov, and it was clear they wanted to send a message that this was personal.

It’s not hard to see why. The attackers who broke into Medibank in October 2022 stole 9.7 million records on current and former Medibank customers. When the company refused to pay a $10 million ransom demand, the hackers selectively leaked highly sensitive health records, including those tied to abortions, HIV and alcohol abuse.

The U.S. government says Ermakov and the other actors behind the Medibank hack are believed to be linked to the Russia-backed cybercrime gang REvil.

“REvil was among the most notorious cybercrime gangs in the world until July 2021 when they disappeared. REvil is a ransomware-as-a-service (RaaS) operation and generally motivated by financial gain,” a statement from the U.S. Department of the Treasury reads. “REvil ransomware has been deployed on approximately 175,000 computers worldwide, with at least $200 million paid in ransom.”

The sanctions say Ermakov went by multiple aliases on Russian cybercrime forums, including GustaveDore, JimJones, and Blade Runner. A search on the handle GustaveDore at the cyber intelligence platform Intel 471 shows this user created a ransomware affiliate program in November 2021 called Sugar (a.k.a. Encoded01), which focused on targeting single computers and end-users instead of corporations.

An ad for the ransomware-as-a-service program Sugar posted by GustaveDore warns readers against sharing information with security researchers, law enforcement, or “friends of Krebs.”

In November 2020, Intel 471 analysts concluded that GustaveDore’s alias JimJones “was using and operating several different ransomware strains, including a private undisclosed strain and one developed by the REvil gang.”

In 2020, GustaveDore advertised on several Russian discussion forums that he was part of a Russian technology firm called Shtazi, which could be hired for computer programming, web development, and “reputation management.” Shtazi’s website remains in operation today.

A Google-translated version of Shtazi dot ru. Image: Archive.org.

The third result when one searches for shtazi[.]ru in Google is an Instagram post from a user named Mikhail Borisovich Shefel, who promotes Shtazi’s services as if it were also his business. If this name sounds familiar, it’s because in December 2023 KrebsOnSecurity identified Mr. Shefel as “Rescator,” the cybercriminal identity tied to tens of millions of payment cards that were stolen in 2013 and 2014 from big box retailers Target and Home Depot, among others.

How close was the connection between GustaveDore and Mr. Shefel? The Treasury Department’s sanctions page says Ermakov used the email address ae.ermak@yandex.ru. A search for this email at DomainTools.com shows it was used to register just one domain name: millioner1[.]com. DomainTools further finds that a phone number tied to Mr. Shefel (79856696666) was used to register two domains: millioner[.]pw, and shtazi[.]net.

The December 2023 story here that outed Mr. Shefel as Rescator noted that Shefel recently changed his last name to “Lenin,” and had launched a service called Lenin[.]biz that sells physical USSR-era Ruble notes that bear the image of Vladimir Lenin, the founding father of the Soviet Union. The Instagram account for Mr. Shefel includes images of stacked USSR-era Ruble notes, as well as multiple links to Shtazi.

The Instagram account of Mikhail Borisovich Shefel, aka MikeMike aka Rescator.

In a report published this week, Intel 471 said investigators connected Ermakov to REvil because the stolen Medibank data was published on a blog that had one time been controlled by REvil affiliates who carried out attacks and paid an affiliate fee to the gang.

But by the time of the Medibank hack, the REvil group had mostly scattered after a series of high-profile attacks led to the group being disrupted by law enforcement. In November 2021, Europol announced it arrested seven REvil affiliates who collectively made more than $230 million worth of ransom demands since 2019. At the same time, U.S. authorities unsealed two indictments against a pair of accused REvil cybercriminals.

“The posting of Medibank’s data on that blog, however, indicated a connection with that group, although the connection wasn’t clear at the time,” Intel 471 wrote. “This makes sense in retrospect, as Ermakov’s group had also been a REvil affiliate.”

It is easy to dismiss sanctions like these as ineffective, because as long as Mr. Ermakov remains in Russia he has little to fear of arrest. However, his alleged role as an apparent top member of REvil paints a target on him as someone who likely possesses large sums of cryptocurrency, said Patrick Gray, the Australian co-host and founder of the security news podcast Risky Business.

“I’ve seen a few people poo-poohing the sanctions…but the sanctions component is actually less important than the doxing component,” Gray said. “Because this guy’s life just got a lot more complicated. He’s probably going to have to pay some bribes to stay out of trouble. Every single criminal in Russia now knows he is a vulnerable 33 year old with an absolute ton of bitcoin. So this is not a happy time for him.”




Moscow.media
Частные объявления сегодня





Rss.plus


Все новости за 24 часа


Life24.pro

Беременные женщины Санкт-Петербурга присоединяются к проекту «ХГЧ.РФ»

Победительница «Голоса» показала в Кремле татуировки

Летние концерты в Москве

Корпоративная спартакиада – залог здорового духа «Союза Маринс Групп»


Today24.pro

A Berta pick, an Arteta pick

This Now-$8 Tinted Lip Balm That ‘Goes on Like Silk’ Has a Shade That’s ‘Very Similar’ to Pillow Talk

Ricci: ‘Quick chat’ with Gattuso, Milan transfer ‘fundamental’ for Italy career

Chivu holds transfer meeting with Inter directors


News24.pro

Нужно ли праздновать патриотические праздники в колониях-поселениях?

Промышленные сети под угрозой: в Siemens SINEC NMS обнаружены критические уязвимости

Здесь живут белые медведи

В Орле пенсионерка погибла под колесами легковушки


Game24.pro

Arkane Studios founder slams Microsoft for its Game Pass focus: 'At some point reality has to hit'

Кья-кья: 10-ка лучших героев в Soul Calibur 2

Баллистическая защита 2.9.1

Capcom cancels a presentation on Monster Hunter Wilds performance at CEDEC 2025 amid ongoing developer harassment



Russia24.pro

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению

Кажетта Ахметжанова: места силы России – топ 5 мистических локаций

Внутри SAP: вновь обнаруженная уязвимость угрожает конфиденциальности производства

«Голоса Ленинграда» анимационный сериал, основанный на реальных историях представили в Петербурге



Другие проекты от SMI24.net

News-life

Петровский бульвар приглашает на мастер-классы по боксу и баскетболу в рамках «Лета в Москве»

Адвокат Грикевич: попытки не платить взносы на капремонт грозят штрафом

Соучастник экс-главы следственного отдела по Таганрогу Багмута признал вину

Нужно ли праздновать патриотические праздники в колониях-поселениях?


Ru24.net

Российским туристам рассказали об изменениях отдыха в Азербайджане

Еще две пары из Рязанской области зарегистрировали брак на Всероссийском свадебном фестивале в Национальном центре «Россия»

Суд взыскал долг по ЖКХ с мужа блогера Ивлеевой Бегака

Медведь в Японии проник в дом и растерзал женщину


News.tennis

Павлюченкова о судейской ошибке: я бы просто сказала, что ненавижу Уимблдон

Рублев: Стоит мне чуть-чуть потерять концентрацию — и я теряю сет

Андреева стала самой молодой четвертьфиналисткой Уимблдона с 2005 года

Людмила Самсонова уступила Швентек в четвертьфинале Уимблдона


29ru.net

Ретроспектива работ русского супрематиста Ивана Клюна открылась в Москве

Красноярская невеста расплакалась на свадьбе при появлении брата на торжестве

Медведь в Японии проник в дом и растерзал женщину

Суд взыскал долг по ЖКХ с мужа блогера Ивлеевой Бегака


Музыкальные новости
Poisk-music.ru

В Твери выступил Московский джазовый оркестр под управлением Игоря Бутмана

Григорий Лепс перенес выступления в Сочи и Геленджике на август

Певица Пугачева пригрозила Галкину из-за съемок ее отдыха в Латвии

БОЛЬШОЙ ПОКЛОН ⟩ Легендарный Оззи Осборн и группа Black Sabbath дали свой последний концерт!



Ria.city

Кажетта Ахметжанова: места силы России – топ 5 мистических локаций

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению

«Голоса Ленинграда» анимационный сериал, основанный на реальных историях представили в Петербурге

Летний мультпоказ: «Шимми: первый король обезьян» в ТРЦ «Нора»


Rss.plus

Банный Оскар-2025: рассказываем, кто стал звездой Чемпионата России по банному искусству

Российский политолог Джаралла: Трамп использует тактику кнута и пряника

В аэропорту Шереметьево ввели временные ограничения на полеты

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению


Auto.russia24.pro

Росгвардеец оказал первую помощь пострадавшему в ДТП в центре Москвы

В Брянской области на железнодорожном переезде зафиксировано одно ДТП за полугодие

НПС забетонировал подземный переход на севере столицы

Тепловоз врезался в легковушку на востоке Москвы, есть пострадавшие


Putin.russia24.pro

В Совфеде оценили угрозу Трампа «разбомбить Москву»

Раскрыт неожиданный смысл угрозы Трампа «разбомбить Москву»

​Кремль испугался Трампа: Песков сделал невнятное заявление после разгромной критики Путина

Кремль спокойно воспринял жесткую риторику Трампа по отношению к Путину





Health.russia24.pro

Инвалиды-опорники из Москвы похвалили нижегородскую канатную дорогу

Встраивается в клетки крови: симптомы сальмонеллеза и страшные последствия

Врач-гигиенист клиники «Мегастом» Инна Гришина: как понять, что вам нужна помощь стоматолога

Новая лаборатория в Томске меняет подход к химии и медицине


Zelensky.russia24.pro

Буданов доложил Зеленскому о «уязвимых местах» России

МИД РФ: поставки вооружений Киеву не способствуют мирному урегулированию


Sport.russia24.pro

Корпоративная спартакиада – залог здорового духа «Союза Маринс Групп»

Корпоративная спартакиада – залог здорового духа «Союза Маринс Групп»

Мужская хоккейная команда King's College впервые победила на своём льду благодаря Аарону Френкелю

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению




Person.russian.city

Собянин анонсировал вхождение студии Горького в московский кинокластер

Собянин осмотрел строящиеся объекты Киностудии Горького в Валдайском проезде

Собянин оценил "Академию инноваторов" после перезапуска

Собянин: «Академия инноваторов» объединила участников из 79 регионов и 40 стран


Ecology.russia24.pro

Прокуратура заинтересовалась загрязнением реки Яузы в Москве

Священник Постернак объяснил, можно ли пропустить поход в храм из-за аномальной жары

Завтра в 9:00 с пристани Речного вокзала отправляется теплоход «Москва»

Синоптики напугали аномальной жарой, которой не было 30 лет — реальная опасность


29ru.net

Scamshot: новый мессенджер Max ведет слежку за пользователями

Еще две пары из Рязанской области зарегистрировали брак на Всероссийском свадебном фестивале в Национальном центре «Россия»

Российским туристам рассказали об изменениях отдыха в Азербайджане

Региональный Минобр признали виновным в срыве строительства концессионных школ в Новосибирске


Severodvinsk.ws

В Архангельске в суд направлено уголовное дело об истязании несовершеннолетней

Заммэра Москвы Ефимов сообщил о благоустройстве набережной Захарковского карьера

Ефимов: в Москве благоустроят набережную Захарковского карьера

Владимир Ефимов: В столице благоустроят набережную Захарковского карьера


Sevpoisk.ru

Глава Крыма заявил о готовности аэропорта Симферополь к открытию

Симферополь частично остался без света

Воспитанник МБУ ДО «Спортивная школа бокса им. А.С. Антонюка города Симферополя» - Юрий Аветян (тренер Лапин С.Ю.) стал победителем четвертой летней Спартакиады молодежи России 2025, проходившей в городе Москва!

Эксперт прокомментировал слова Трампа о санкциях против России


103news.com

Ретроспектива работ русского супрематиста Ивана Клюна открылась в Москве

Российским туристам рассказали об изменениях отдыха в Азербайджане

Суд взыскал долг по ЖКХ с мужа блогера Ивлеевой Бегака

Медведь в Японии проник в дом и растерзал женщину












Спорт в России и мире

Новости спорта


Новости тенниса
Уимблдон

Мирра Андреева впервые в карьере вышла в 1/4 финала Уимблдона






Smi24.net

Суд взыскал долг по ЖКХ с мужа блогера Ивлеевой Бегака

Региональный Минобр признали виновным в срыве строительства концессионных школ в Новосибирске

Российским туристам рассказали об изменениях отдыха в Азербайджане

Банк ПСБ потербовал признать бывшего замминистра обороны Иванова банкротом


Спонсорский контент

Все новости smi24.net