Verdächtige neue Ransomware-Gruppe behauptet Sony-Hack

Angeblich bietet ein neuer Bedrohungsakteur Dateien an von Sony im Dark Web gestohlen, aber die Debatte darüber, wie die Gruppe an die Daten des Unterhaltungsriesen gelangt ist und wie wertvoll diese tatsächlich sind, ist noch nicht abgeschlossen.

Eine Operation namens „Ransomed“ oder „RansomedVC“ – zu diesem Zeitpunkt kaum mehr als einen Monat alt – veröffentlichte am Montag eine Mitteilung auf ihrer Dark-Web-Leak-Site, in der sie behauptete, „alle Sony-Systeme kompromittiert“ zu haben. Nachdem Sony die Zahlung verweigert habe, verkaufe der Konzern die Daten nun an die Community, so der Konzern.

Aber in einem Beitrag auf X (ehemals Twitter) für „Nerds“, der am 25. September online gingvx-underground stellte klar, dass die Gruppe „keine Ransomware eingesetzt hat, keine Unternehmensdaten gestohlen wurden und Dienste nicht beeinträchtigt waren“. Offenbar wurden Daten von verschiedenen vom Unternehmen verwendeten Entwicklertools gesammelt, darunter Jenkins, SVN, SonarQube und Creator Cloud Development, sowie einige andere wahrscheinlich unkritische Anmeldeinformationen und Dateien.

Zum Zeitpunkt der Veröffentlichung hatte Sony nicht auf die Bitte von Dark Reading um einen Kommentar geantwortet. Ein Sony-Vertreter sagte gegenüber SecurityWeek dass es die Situation untersucht.

Was wirklich passierte

Um seine Leistung zu beweisen, hat Ransomed offenbar einen Dateibaum für das gesamte Leck angehängt in seinem Dark-Web-Eintrag. Allerdings enthält es insgesamt weniger als 6,000 Dateien, also kaum „alle von Sony“.

Auf Online-Foren treffen sich Hacker und Interessierte gleichermaßen machte sich über die Diskrepanz lustig. Und in einem Forumsbeitrag zum Thema Cyberkriminalität ging ein Benutzer namens „Major Nelson“ noch einen Schritt weiter: Veröffentlichung aller Daten Sie behaupten, Ransomed habe gestohlen. (Es ist unklar, wie eine dieser Parteien an diese Daten gelangt ist.) Dazu gehörten diese Infrastrukturdateien sowie ein Geräteemulator zum Generieren von Lizenzen, Richtlinien zur Reaktion auf Vorfälle, „viele Anmeldeinformationen für interne Systeme“ und mehr.

Major Nelson schien die Schwere des Ganzen herunterzuspielen. „Ihr Journalisten glaubt der Ransomware-Crew wegen Lügen. Viel zu leichtgläubig, du solltest dich schämen. RansomedVCs sind Betrüger, die nur versuchen, Sie zu betrügen und Einfluss zu erlangen. Genießen Sie das Leck“, schrieben sie.

Seit ihrer ersten Veröffentlichung scheint die Gruppe selbst ihre Botschaften zu ändern. In ein neuerer Forumsbeitrag, aufgenommen von SOCRadarbehauptete ein Tochterunternehmen von Ransomed, dass es „Zugang zur Sony-Infrastruktur“ verkaufe.

Dies ist nicht das erste Mal, dass der junge Bedrohungsakteur seine Leistungen übertreibt.

Wer wird freigelassen?

Ransomed.vc wurde am 15. August als neues Hacker-Forum gestartet. Doch schon am nächsten Tag wurde es Opfer eines DDoS-Angriffs. Danach benannten die Administratoren sie in eine Leak-Site für eine Ransomware-Operation um.

Ferhat Dikbiyik, Forschungsleiter bei Black Kite, hat die Gruppe über ihre Online-Kanäle verfolgt. „Die Sache mit dieser Gruppe ist, dass wir bisher registriert haben, wie viele … 41 Opfer?“ Und vielleicht die Hälfte davon kommt aus Bulgarien. Sie konzentrieren sich also wirklich auf kleine Unternehmen in kleinen Ländern“, sagt er.

Vergleichen Sie das mit seinen großen Behauptungen über Sony und Transunion, für die es behauptete, gestohlen zu haben „Alles, was ihre Mitarbeiter jemals heruntergeladen oder auf ihren Systemen verwendet haben.“

Es sei ein Amateur-Outfit, erklärt Dikbiyik. „Ich glaube, es war vor zwei Wochen, als sie ein Unternehmen gehackt und seine Website geändert haben. Die Verunstaltung von Websites ist ein sehr altmodisches Skript – die „professionelleren“ Ransomware-Gruppen tun dies nicht – weil sie das Opfer nicht bloßstellen und keinen Einfluss haben wollen.“

Dikbiyik kommt zu dem Schluss: „Sie wollen sich einfach einen Namen machen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/suspicious-new-ransomware-group-claims-sony-hack