Добавить новость
ru24.net
News in English
Календарь
Январь
2024
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Who is Alleged Medibank Hacker Aleksandr Ermakov?

0
Krebs on Security 

Authorities in Australia, the United Kingdom and the United States this week levied financial sanctions against a Russian man accused of stealing data on nearly 10 million customers of the Australian health insurance giant Medibank. 33-year-old Aleksandr Ermakov allegedly stole and leaked the Medibank data while working with one of Russia’s most destructive ransomware groups, but little more is shared about the accused. Here’s a closer look at the activities of Mr. Ermakov’s alleged hacker handles.

Aleksandr Ermakov, 33, of Russia. Image: Australian Department of Foreign Affairs and Trade.

The allegations against Ermakov mark the first time Australia has sanctioned a cybercriminal. The documents released by the Australian government included multiple photos of Mr. Ermakov, and it was clear they wanted to send a message that this was personal.

It’s not hard to see why. The attackers who broke into Medibank in October 2022 stole 9.7 million records on current and former Medibank customers. When the company refused to pay a $10 million ransom demand, the hackers selectively leaked highly sensitive health records, including those tied to abortions, HIV and alcohol abuse.

The U.S. government says Ermakov and the other actors behind the Medibank hack are believed to be linked to the Russia-backed cybercrime gang REvil.

“REvil was among the most notorious cybercrime gangs in the world until July 2021 when they disappeared. REvil is a ransomware-as-a-service (RaaS) operation and generally motivated by financial gain,” a statement from the U.S. Department of the Treasury reads. “REvil ransomware has been deployed on approximately 175,000 computers worldwide, with at least $200 million paid in ransom.”

The sanctions say Ermakov went by multiple aliases on Russian cybercrime forums, including GustaveDore, JimJones, and Blade Runner. A search on the handle GustaveDore at the cyber intelligence platform Intel 471 shows this user created a ransomware affiliate program in November 2021 called Sugar (a.k.a. Encoded01), which focused on targeting single computers and end-users instead of corporations.

An ad for the ransomware-as-a-service program Sugar posted by GustaveDore warns readers against sharing information with security researchers, law enforcement, or “friends of Krebs.”

In November 2020, Intel 471 analysts concluded that GustaveDore’s alias JimJones “was using and operating several different ransomware strains, including a private undisclosed strain and one developed by the REvil gang.”

In 2020, GustaveDore advertised on several Russian discussion forums that he was part of a Russian technology firm called Shtazi, which could be hired for computer programming, web development, and “reputation management.” Shtazi’s website remains in operation today.

A Google-translated version of Shtazi dot ru. Image: Archive.org.

The third result when one searches for shtazi[.]ru in Google is an Instagram post from a user named Mikhail Borisovich Shefel, who promotes Shtazi’s services as if it were also his business. If this name sounds familiar, it’s because in December 2023 KrebsOnSecurity identified Mr. Shefel as “Rescator,” the cybercriminal identity tied to tens of millions of payment cards that were stolen in 2013 and 2014 from big box retailers Target and Home Depot, among others.

How close was the connection between GustaveDore and Mr. Shefel? The Treasury Department’s sanctions page says Ermakov used the email address ae.ermak@yandex.ru. A search for this email at DomainTools.com shows it was used to register just one domain name: millioner1[.]com. DomainTools further finds that a phone number tied to Mr. Shefel (79856696666) was used to register two domains: millioner[.]pw, and shtazi[.]net.

The December 2023 story here that outed Mr. Shefel as Rescator noted that Shefel recently changed his last name to “Lenin,” and had launched a service called Lenin[.]biz that sells physical USSR-era Ruble notes that bear the image of Vladimir Lenin, the founding father of the Soviet Union. The Instagram account for Mr. Shefel includes images of stacked USSR-era Ruble notes, as well as multiple links to Shtazi.

The Instagram account of Mikhail Borisovich Shefel, aka MikeMike aka Rescator.

In a report published this week, Intel 471 said investigators connected Ermakov to REvil because the stolen Medibank data was published on a blog that had one time been controlled by REvil affiliates who carried out attacks and paid an affiliate fee to the gang.

But by the time of the Medibank hack, the REvil group had mostly scattered after a series of high-profile attacks led to the group being disrupted by law enforcement. In November 2021, Europol announced it arrested seven REvil affiliates who collectively made more than $230 million worth of ransom demands since 2019. At the same time, U.S. authorities unsealed two indictments against a pair of accused REvil cybercriminals.

“The posting of Medibank’s data on that blog, however, indicated a connection with that group, although the connection wasn’t clear at the time,” Intel 471 wrote. “This makes sense in retrospect, as Ermakov’s group had also been a REvil affiliate.”

It is easy to dismiss sanctions like these as ineffective, because as long as Mr. Ermakov remains in Russia he has little to fear of arrest. However, his alleged role as an apparent top member of REvil paints a target on him as someone who likely possesses large sums of cryptocurrency, said Patrick Gray, the Australian co-host and founder of the security news podcast Risky Business.

“I’ve seen a few people poo-poohing the sanctions…but the sanctions component is actually less important than the doxing component,” Gray said. “Because this guy’s life just got a lot more complicated. He’s probably going to have to pay some bribes to stay out of trouble. Every single criminal in Russia now knows he is a vulnerable 33 year old with an absolute ton of bitcoin. So this is not a happy time for him.”




Moscow.media
Частные объявления сегодня





Rss.plus


Все новости за 24 часа


Life24.pro

«Голоса Ленинграда» анимационный сериал, основанный на реальных историях представили в Петербурге

Искусство как память: в Театре Российской Армии прошел уникальный балетный марафон

Понимание важности массажа для лица

Кинофестиваль «Горький Fest» пройдёт в Нижнем Новгороде с 10 по 16 июля


Today24.pro

A Berta pick, an Arteta pick

Edgbaston breached: India break duck in England’s storied fortress, win by 336 runs

Chivu holds transfer meeting with Inter directors

This Now-$8 Tinted Lip Balm That ‘Goes on Like Silk’ Has a Shade That’s ‘Very Similar’ to Pillow Talk


News24.pro

Концерт Adi Oasis на фестивале A to JaZz в Софии

Карьерная платформа Changellenge сменила поставщика КЭДО на HRlink

Глобальное масштабирование: компания «Газинформсервис» участвует в обсуждении применения электронной транспортной накладной с ЕЭК ООН

Летний мультпоказ: «Шимми: первый король обезьян» в ТРЦ «Нора»


Game24.pro

Кья-кья: 10-ка лучших героев в Soul Calibur 2

Баллистическая защита 2.9.1

EverRun: лошади-хранители 2025.2.0

Arkane Studios founder slams Microsoft for its Game Pass focus: 'At some point reality has to hit'



Russia24.pro

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению

Внутри SAP: вновь обнаруженная уязвимость угрожает конфиденциальности производства

Летний мультпоказ: «Шимми: первый король обезьян» в ТРЦ «Нора»

Промышленные сети под угрозой: в Siemens SINEC NMS обнаружены критические уязвимости



Другие проекты от SMI24.net

News-life

Глобальное масштабирование: компания «Газинформсервис» участвует в обсуждении применения электронной транспортной накладной с ЕЭК ООН

Нужно ли праздновать патриотические праздники в колониях-поселениях?

Метеоролог Позднякова объяснила, как действовать при виде шаровой молнии

Российский политолог Джаралла: Трамп использует тактику кнута и пряника


Ru24.net

Радиоактивную фигурку попугая обнаружили таможенники в посылке из Германии

Благоустройство SET признано лучшим на рынке недвижимости

Британский аналитик заявил о возможном банкротстве Европы из-за кражи активов России

Благотворительная акция «Бежим за Мечту – Ходить» 2025: шаги к мечте, которые меняют жизни


News.tennis

Тренер Янчук заявил, что 18-летнюю Андрееву не нужно сравнивать с Шараповой

Вероника Кудерметова и Элизе Мертенс вышли в полуфинал Уимблдона

Мирра Андреева впервые в карьере вышла в 1/4 финала Уимблдона

Рублев: Стоит мне чуть-чуть потерять концентрацию — и я теряю сет


29ru.net

Летний мультпоказ: «Шимми: первый король обезьян» в ТРЦ «Нора»

Руководителя команды Red Bull уволили

Благоустройство SET признано лучшим на рынке недвижимости

Карьерная платформа Changellenge сменила поставщика КЭДО на HRlink


Музыкальные новости
Poisk-music.ru

Территорию возле поместья Пугачевой выставят на аукцион

Кажетта Ахметжанова: места силы России – топ 5 мистических локаций

Депутат ЗСК Виктор Тепляков провёл обход подземных переходов в Центральном районе Сочи

Михаил Куснирович, Игорь Бутман и другие взялись за ракетки



Ria.city

«Голоса Ленинграда» анимационный сериал, основанный на реальных историях представили в Петербурге

Летний мультпоказ: «Шимми: первый король обезьян» в ТРЦ «Нора»

Кажетта Ахметжанова: места силы России – топ 5 мистических локаций

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению


Rss.plus

Эксперт прокомментировал слова Трампа о санкциях против России

​Кремль испугался Трампа: Песков сделал невнятное заявление после разгромной критики Путина

В Центральном округе Росгвардии прошли мероприятия, приуроченные ко Дню семьи, любви и верности

Спортсмены Росгвардии стали победителями соревнований по стрельбе из пневматического оружия


Auto.russia24.pro

Тепловоз врезался в легковушку на востоке Москвы, есть пострадавшие

Стоимость поездки на такси в Москве за год выросла на 70%

Росгвардеец оказал первую помощь пострадавшему в ДТП в центре Москвы

Эксперт: смена игроков моторынка сделала малокубатурную технику популярной


Putin.russia24.pro

Кремль спокойно воспринял жесткую риторику Трампа по отношению к Путину

Трамп угрожал Путину и Си Цзиньпину разбомбить Москву и Пекин

В Совфеде оценили угрозу Трампа «разбомбить Москву»

Раскрыт неожиданный смысл угрозы Трампа «разбомбить Москву»





Health.russia24.pro

От грибка до интоксикации: чем опасны дезодоранты длительного действия

Врач-гигиенист клиники «Мегастом» Инна Гришина: как понять, что вам нужна помощь стоматолога

Встраивается в клетки крови: симптомы сальмонеллеза и страшные последствия

"SHOT Проверка": в роллах "Якитории" в Москве обнаружили кишечную палочку


Zelensky.russia24.pro

МИД РФ: поставки вооружений Киеву не способствуют мирному урегулированию

Буданов доложил Зеленскому о «уязвимых местах» России


Sport.russia24.pro

На факультете ИТ МГППУ разработан тренажер для оценки и формирования навыков командной работы у операторов БПЛА

Мужская хоккейная команда King's College впервые победила на своём льду благодаря Аарону Френкелю

Корпоративная спартакиада – залог здорового духа «Союза Маринс Групп»

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению




Person.russian.city

Собянин: «Академия инноваторов» объединила участников из 79 регионов и 40 стран

Собянин анонсировал вхождение студии Горького в московский кинокластер

Собянин осмотрел строящиеся объекты Киностудии Горького в Валдайском проезде

Собянин оценил "Академию инноваторов" после перезапуска


Ecology.russia24.pro

Синоптики напугали аномальной жарой, которой не было 30 лет — реальная опасность

Завтра в 9:00 с пристани Речного вокзала отправляется теплоход «Москва»

Кажетта Ахметжанова: места силы России – топ 5 мистических локаций

Прокуратура заинтересовалась загрязнением реки Яузы в Москве


29ru.net

Британский аналитик заявил о возможном банкротстве Европы из-за кражи активов России

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению

Карьерная платформа Changellenge сменила поставщика КЭДО на HRlink

Сенатор от Алтайского края будет судить на конкурсе ватного мастерства


Severodvinsk.ws

Заммэра Москвы Ефимов сообщил о благоустройстве набережной Захарковского карьера

«Надо поднапрячься и тушить»: Глава Бурятии поручил увеличить силы для борьбы с огнем

Владимир Ефимов: В столице благоустроят набережную Захарковского карьера

Ефимов: в Москве благоустроят набережную Захарковского карьера


Sevpoisk.ru

Воспитанник МБУ ДО «Спортивная школа бокса им. А.С. Антонюка города Симферополя» - Юрий Аветян (тренер Лапин С.Ю.) стал победителем четвертой летней Спартакиады молодежи России 2025, проходившей в городе Москва!

Симферополь частично остался без света

Кто в Симферополе и Севастополе зарабатывает больше всех

Глава Крыма заявил о готовности аэропорта Симферополь к открытию


103news.com

НПС забетонировал подземный переход на севере столицы

Нижнекамск принял грандиозный финал Чемпионата России по коллективному парению

Руководителя команды Red Bull уволили

В Совфеде рассказали о новых региональных мерах поддержки семей












Спорт в России и мире

Новости спорта


Новости тенниса
Уимблдон

Мирра Андреева уступила олимпийской чемпионке Бенчич и не смогла выйти в полуфинал Уимблдона






Smi24.net

Холдинг «Швабе» определил лучших инноваторов

Компания Полиметалл проектирует и производит оборудование для полиграфии, гидравлические прессы и термопрессы в огромном ассортименте.

В Совфеде рассказали о новых региональных мерах поддержки семей

Взрослый и ребенок погибли в ДТП с иномаркой и микроавтобусом в Подмосковье


Спонсорский контент

Все новости smi24.net