We are the Cozy Bear?

Van diverse klanten en relaties krijgen we meldingen binnen over phishing mails waarin gedreigd wordt met het lamleggen van websites, tenzij er een bedrag van $1050 wordt betaald in bitcoins.

Onderwerp van de dreigmail:
If your <TARGET DOMAIN> is important to you, you must read this

Body van de dreigmail:
PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!=====================

We are the Cozy Bear and we have chosen <TARGET DOMAIN> as target for our next DDoS attack.  Please perform a google search for "Cozy Bear" to have a look at some of our previous work.
 Your network will be subject to a DDoS attack starting at <DATE>.
THIS IS NOT A HOAX, and to prove it right now we will start a small attack on <TARGET DOMAIN> that will last for 30 minutes. It will not be heavy attack, and will not cause you any damage so don't worry, at this moment. This means that your website, e-mail and other connected services will be unavailable for everyone. We will refrain from attacking your servers for a small fee. The current fee is $1050(USD) in bitcoins (BTC). The fee will increase by 1000 USD for each day after deadline that passed without payment.

Please send Bitcoin to the following Bitcoin address (cAsE-SeNsitIve): <BITCOIN ADDRESS>

You can easily buy bitcoins via several websites or even offline from a Bitcoin-ATM. We suggest you coinmama.com or https://buy.coingate.com/ for buying bitcoins. Once you have paid we will automatically get informed that it was your payment. Please note that you have to make payment before the deadline or the attack WILL start! If you decide not to pay, we will start the attack on the indicated date and uphold it until you do, there's no counter measure to this, you will only end up wasting more money trying to find a solution (Cloudflare, Sucuri, Imperva and similar services are useless, because we will hit your network directly). We will completely destroy your reputation and make sure your services will remain offline until you pay. We will also download your database and do as much damage as possible. Do not reply to this email, don't try to reason or negotiate, we will not read any replies. Once you have paid we won't start the attack and you will never hear from us again. Please note that Bitcoin is anonymous and no one will find out that you have complied. -- Cozy Bear team

Betaal niet!

Er is namelijk een heleboel mis met dit verhaal.
Cozy Bear is inderdaad een bestaande hackersgroep, maar de kans dat deze afpersingsmails echt afkomstig zijn van deze groep is klein. Deze criminelen willen meeliften op de reputatie van Cozy Bear.

Onze eigen AIVD heeft in 2014 namelijk aangetoond dat Cozy Bear werkt voor de FSB, de Russische geheime dienst. Daarmee wordt het erg onwaarschijnlijk dat ze openlijk Nederlandse bedrijven gaan lopen afpersen.

Fijn dat ze willen laten zien dat ze 30 minuten je website lam kunnen leggen, er zijn geen gevallen bekend dat dit ook echt is gebeurd.

Hetzelfde Bitcoin-adres wordt in meerdere mails gebruikt, dus hoe ze dan kunnen weten welk slachtoffer heeft betaald?

Heeft u ook zo'n mail ontvangen?
Reageer niet op de mail, en volg het bedrijfsprotocol voor omgang met phishing mail.

Wilt u concreet iets doen om deze criminelen aan te pakken?
Op www.bitcoinabuse.com wordt een register bijgehouden van Bitcoin-adressen die worden gebruikt door criminelen.

Meld het Bitcoin-adres uit de phishingmail daar aan om anderen te waarschuwen. Criminele hackers zijn net mensen, en ze maken wel eens een foutje. Door zoveel mogelijk informatie over deze criminelen publiekelijk bekend te maken kunnen er wellicht nieuwe verbanden gelegd worden. Dit kan helpen bij gerechtelijke vervolging.

48 jaar Malware - Change of the Game