Gigabyte presuntamente afectado por el ransomware AvosLocker - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Gigabyte presuntamente afectado por el ransomware AvosLocker

Hola, un placer verte por aquí. En el teclado Eduardo Arroyo y en el día de hoy te voy a hablar sobre Gigabyte presuntamente afectado por el ransomware AvosLocker

Gigabyte presuntamente afectado por el ransomware AvosLocker

Si AvosLocker robó las claves maestras de Gigabyte, los actores de la amenaza podrían obligar al hardware a descargar controladores falsos o actualizaciones de BIOS en un ataque a la cadena de suministro en SolarWinds.

La banda de ransomware AvosLocker afirma haber pirateado al gigante tecnológico Gigabyte, y agregó que filtró una muestra de lo que afirma son archivos robados de la red de la empresa taiwanesa. Ofrece vender el resto.

El miércoles, la pandilla emitió un «comunicado de prensa» en el que anunciaba que supuestamente había destripado al fabricante de la placa base / servidor, aunque no dijo cuándo ni cómo. Los archivos filtrados, vistos por PrivacySharks y Threatpost, parecen contener detalles confidenciales sobre acuerdos con empresas de terceros e información identificable de los empleados.

PrivacySharks se puso en contacto con AvosLocker para obtener más información sobre la infracción. Threatpost se ha puesto en contacto con Gigabyte pero aún no ha recibido una respuesta.

A continuación se muestra una captura de pantalla del anuncio de AvosLocker, que se refiere a un acuerdo de confidencialidad (NDA) entre Gigabyte y Barracuda Networks. La NDA, que Threatpost vio, tiene fecha de junio de 2007 y está firmada en nombre de Barracuda por «Drako», que, si es genuina, presumiblemente se refiere al cofundador de Barracuda, Dean Drako.

“Gigabyte INC sufrió una brecha y este es un ejemplo de los archivos que descargamos de su red. Barracuda NDA + lista completa de directorios filtrada en la muestra «, según la declaración de AvosLocker.

Aviso de supuestos datos de Gigabyte publicados en el sitio de filtración de AvosLocker. Fuente: sitio de la fuga.

Lo que se filtró

en un Publicación del jueves, PrivacySharks dijo que un investigador de seguridad independiente afiliado a la empresa vio el contenido de un archivo filtrado de 14,9 MB llamado «test.zip» supuestamente extraído por Gigabyte.

El investigador dijo que contiene la siguiente lista de información sensible:

  • Detalles de la tarjeta de crédito potencial. Afortunadamente, si estos archivos contienen información de tarjetas de crédito, es posible que las tarjetas de crédito hayan caducado, ya que esta carpeta es de 2014.
  • Detalles de contraseña y nombre de usuario.
  • Detalles del cheque de pago del empleado.
  • Acuerdos de RRHH con consultores así como nombres y apellidos, imágenes y CV.
  • 10 documentos PDF en un archivo llamado «Pasaportes».
  • Información sobre más de 1.500 solicitantes, incluidos nombres completos, CV, currículums y solicitudes. También hay detalles de Zoom con lo que parece ser información personal sobre cada candidato.
  • Una carpeta llamada «Mailchimp» que contiene la información de la base de datos de la cuenta GSM. Esto podría incluir direcciones de correo electrónico.
  • Una carpeta zip que contiene un NDA e información de un acuerdo con Barracuda Networks por valor de más de $ 100,000.
  • Además de Barracuda Networks, la filtración incluye varios datos de las siguientes empresas conocidas: Amazon, BestBuy, Black Magic, Blizzard, Intel y Kingston.
  • Un archivo .txt llamado «Árbol» que contiene 133,352 líneas de carpeta y nombres de archivos robados durante la infracción.
  • Gastos comerciales de viajes como «Hawái 2019», incluido el dinero gastado en bebidas luau, viajes y propinas Uber.
  • Imágenes de eventos corporativos, incluidas fiestas de Navidad, fiestas de Halloween y «Cumpleaños de Tony».

¿Podría el ataque provocar ondas en la cadena de suministro?

Gigabyte diseña y fabrica placas base para plataformas AMD e Intel. También produce tarjetas gráficas y portátiles en asociación con AMD y Nvidia, incluidos los conjuntos de chips Turing de Nvidia y los conjuntos de chips Vega y Polaris de AMD. PrivacySharks sugirió que si la filtración incluye las claves maestras de Gigabyte, claves que identifican a los fabricantes de hardware como el desarrollador original, los actores de amenazas podrían usarlas para obligar al hardware a descargar controladores falsos, actualizaciones de BIOS u otros, como sucedió con SolarWinds.

En este punto, los expertos de PrivacySharks encontraron solo dos archivos .KEY y algunos archivos .CRT, lo que sugiere que «esta violación contiene poca o poca información de los departamentos de seguridad / tecnología», según el informe. «Sin embargo, si Gigabyte revoca las claves en un futuro cercano, tenga en cuenta esta posibilidad», sugirió PrivacySharks.

¿Datos nuevos y obsoletos?

Si los archivos filtrados resultan ser legítimos, algunos son de una nueva infracción, con archivos que se remontan a mayo.

«Esto indica que se trata de una nueva fuga de datos con nuevos datos», según PrivacySharks. «No solo eso, sino que la fecha de los archivos significa que algunos de los datos de identificación personal (como información del entrevistado, contraseñas y credenciales de usuario, etc.) pueden actualizarse y, por lo tanto, corren el riesgo de verse comprometidos».

Por otra parte, también son viejos, como en años, lo que plantea la pregunta: ¿por qué los archivos siguen funcionando? Porque, si estos archivos son realmente datos de Gigabyte, la empresa ha mantenido los datos confidenciales durante tanto tiempo, en lugar de eliminarlos basándose en reglas como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, solicitó Privacidad.

«Algunos de los datos filtrados cuestionan cómo Gigabyte almacena y usa los datos», sugirió el informe. “Por ejemplo, nos sorprendió especialmente encontrar una gran cantidad de datos identificables sobre solicitantes de empleo, incluidos CV y ​​currículums, que normalmente incluyen datos personales como fechas de nacimiento, direcciones de correo electrónico y números de teléfono.

“Como regla general, las empresas no deben retener los datos de los candidatos una vez finalizado el proceso de contratación, y la filtración de datos de Gigabyte demuestra por qué, ya que esta información puede caer en las manos equivocadas. Por esta razón, la UE tiene una ley GDPR que requiere que las empresas eliminen datos como este «.

AvosLocker y su truco de subasta

Igual que Cyble informó En julio, AvosLocker es un nuevo grupo de ransomware que infectó computadoras con Windows con malware distribuido principalmente a través de campañas de correo electrónico no deseado o anuncios extravagantes.

A principios de este mes, la pandilla según se informa renovó su sitio para crear una forma de subastar los datos de las víctimas recalcitrantes que se niegan a pagar el rescate. No es la primera banda de ransomware en hacer este truco, que tiene como objetivo agregar otro tornillo de cabeza plana al movimiento de doble extorsión no solo para congelar los sistemas de las víctimas, sino también para amenazar con publicar datos robados si no pagan. De hecho, otras bandas de ransomware crearon el punto de presión adicional en 2020, incluida la banda de ransomware REvil.

Pero los expertos en ransomware dicen que la amenaza de la subasta no es real y no debe tomarse en serio.

Es solo una forma de intimidación a las víctimas y de «muy baja calidad», según Yelisey Boguslavskiy, jefa de investigación de la firma de prevención de riesgos cibernéticos Advanced Intelligence.

«Esto es solo un botón en un sitio web», dijo Boguslavskiy a Threatpost el jueves.

«Existen subastas subterráneas – [the Exploit forum being] el caso más ejemplar «, dijo.» Sin embargo, en los años de existencia del foro, nunca ha habido casos en los que los actores hayan llegado a Exploit con [offerings] similares a los que RaaS [ransomware as-a-service] los grupos hacen «.

En pocas palabras, «nadie en la clandestinidad ha ofrecido archivos robados, ya que esto no es lo que los actores están dispuestos a pagar», dijo Boguslavskiy. “El botón de subasta es completamente falso. No hay posibilidad de que alguien lo use simplemente porque es inútil «.

El mismo de siempre

Boguslavskiy dijo que casos como este se están volviendo «muy típicos del ransomware posterior a 2020/2021».

Dichos ataques provienen de grupos más pequeños o poco capacitados que «creen que pueden obtener un rescate simplemente robando y publicando los datos en blogs de vergüenza», dijo. «Sin embargo, tal chantaje solo funciona como un multiplicador de fuerza o como un componente integral de una operación de ransomware holística más grande construida alrededor de maximizar el riesgo para las víctimas si no pagan».

AdvIntel usó a Conti como ejemplo: mientras el grupo RaaS roba datos y amenaza con publicarlos, Conti integra la metodología en un contexto más amplio, que Boguslavskiy describió como bloquear y encriptar redes, eliminar copias de seguridad, investigar redes durante semanas para identificar la información más crítica. y negociar inteligentemente.

«En otras palabras, un grupo de ransomware definitivamente puede usar la exfiltración de datos para recibir un pago, sin embargo, solo si lo hace de una manera muy inteligente, estratégica y sofisticada», explicó. «Y este no es el caso con AvosLocker y / o el 80% de RaaS en el panorama actual (una gran diferencia en comparación con 2019/2020 cuando más grupos eran como Conti)».

Es como una cirugía cardíaca, dijo: «Grupos como AvosLocker, REvil o LockBit están tratando de realizar una cirugía sin tener las habilidades y herramientas y, como resultado, no se les paga el rescate».

Las simples amenazas de volcado de archivos no asustan a las víctimas

«Creen que una simple amenaza de descargar una serie de archivos en un blog obligará a la víctima a pagar», dijo Boguslavskiy, pero esto se debe principalmente al hecho de que los medios asistieron a una aterradora fiesta de ransomware de dos años que, en realidad, no resiste la prueba del olfato.

«[It’s] simplemente no es cierto «, dijo, y esto se evidencia por el hecho de que grandes cantidades de datos sin importancia de cientos de empresas se vierten en los blogs de vergüenza de grupos de ransomware como SunCrypt o LockBit.

¿Qué más nos harán los estafadores, después de todo?

“Lo tiran allí porque no les pagan. Estos grupos esperan grandes pagos, ya que después de robar algunos archivos se sienten omnipotentes, pero en realidad, para ellos, todo termina no con una explosión sino con un quejido (para decirlo de manera más poética), cuando se quedan con $ 0 en su cuenta. y no tienen nada que hacer más que descargar archivos a TOR «, comentó Boguslavskiy.

.

No te olvides compartir en tu Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte