Laut einem Bericht von AMD untersucht AMD eine potenzielle Datenschutzverletzung durch eine neue Datenerpressungs-Cyberkriminalitätsgruppe namens RansomHouse Privatsphäre wiederherstellen.
Die Gruppe veröffentlichte ein Update auf ihrer Darkweb-Site, in dem sie behauptete, „mehr als 450 GB“ (es ist unklar, ob sie Gigabyte oder Gigabit meinten) an Daten vom Chiphersteller gestohlen zu haben. RansomHouse sagt, dass es auf Unternehmen mit schwacher Sicherheit abzielt und AMD bereits im Januar kompromittieren konnte, weil schlechte Passwörter zum Schutz ihrer Netzwerke verwendet wurden.
„Eine Ära der High-End-Technologie, des Fortschritts und der höchsten Sicherheit … in diesen Worten steckt so viel für die Massen. Aber es scheint, dass das immer noch nur schöne Worte sind, wenn sogar Technologiegiganten wie AMD einfache Passwörter verwenden, um ihre Netzwerke vor Eindringlingen zu schützen“, schrieb RansomHouse auf seiner Website. „Es ist eine Schande, dass dies echte Passwörter sind, die von AMD-Mitarbeitern verwendet werden, aber eine größere Schande für die AMD-Sicherheitsabteilung, die gemäß den Dokumenten, die wir in die Finger bekommen haben, eine erhebliche Finanzierung erhält – alles dank dieser Passwörter.“
Restore Privacy hat die angeblich durchgesickerten Daten überprüft und stellt fest, dass sie anscheinend „Netzwerkdateien, Systeminformationen sowie AMD-Passwörter“ enthalten. Einige der Daten sind von RansomHouse durchgesickert und eingesehen worden TechCrunch schlägt vor, dass AMD-Mitarbeiter vertrauliche Daten mit so einfachen und verbreiteten Passwörtern wie „123456“ und „password“ schützten.
AMD bestätigte dies Toms Hardware dass es von einem „bösen Schauspieler“ wusste, der behauptete, im Besitz gestohlener Daten zu sein, und diese Behauptungen derzeit untersucht. Das Unternehmen lehnte es ab, sich dazu zu äußern, ob es eine Lösegeldforderung erhielt oder ob Kundendaten im Spiel waren.
Wir wissen daher noch nicht, ob der angebliche Angriff echt ist und ob die gestohlenen Daten direkt von AMD oder einem Drittpartner stammen. Brett Callow, Ransomware-Experte und Bedrohungsanalyst bei Emsisoft, erzählt TechCrunch dass der Verstoß ernst genommen werden sollte.
„Ransomware-Betreiber sind nicht vertrauenswürdige, böswillige Akteure, und alle ihre Behauptungen sollten mit Skepsis betrachtet werden“, sagte Callow. “Soweit ich weiß, hat sich jedoch keine der Behauptungen, die sie bisher aufgestellt haben, als falsch erwiesen.”
Im Gegensatz zu anderen Cyberkriminalitätsgruppen, die Ransomware-Angriffe durchführen, behauptet RansomHouse, „professionelle Vermittler“ zwischen Angreifern und Opfern zu sein, deren Ziel es ist, Zahlungen für gestohlene Daten zu erleichtern.
Ein vom ehemaligen Cybersicherheitsreporter Catalin Cimpanu geteilter Tweet zeigt den Website-Beitrag der Gruppe, der besagt, dass AMD „entweder der Ansicht war, dass ihr finanzieller Gewinn über den Interessen ihrer Partner/Einzelpersonen steht, die ihnen ihre Daten anvertraut haben, oder sich entschieden hat, die Tatsache zu verbergen sie wurden kompromittiert.“ Cimpanu merkt an, dass dies „ein gescheiterter Angriff sein könnte, bei dem jemand versucht, gestohlene Daten zu Geld zu machen“.
RansomHouse ist eine relativ neue Erpressergruppe, die erstmals im Dezember 2021 mit einer Darknet-Website auftauchte, die die Saskatchewan Liquor and Gaming Authority (SLGA) als ihre ersten Opfer auflistet. Später wurde ShopRite, Afrikas größte Einzelhandelskette, verletzt. RansomHouse listet auf seiner Website insgesamt sechs Opfer auf, einschließlich AMD.
Threat Intelligence-Forscher bei MalwareBytes Labs schrieb Anfang dieses Jahres einen Blog-Beitrag über RansomHouse, in dem er feststellte, wie die Gruppe anbietet, gestohlene Daten zu löschen und einen vollständigen Bericht darüber bereitzustellen, welche Schwachstellen wie ausgenutzt wurden. Dieses Verhalten hat einige Forscher zu Spekulationen veranlasst, dass die Gruppe aus frustrierten White Hats oder Kopfgeldjägern besteht, die Unternehmen für laxe Sicherheitsmaßnahmen bestrafen.
