Verdachte nieuwe ransomwaregroep claimt Sony-hack

Verdachte nieuwe ransomwaregroep claimt Sony-hack

Tijdstempel: 26 september 2023 5:20 uur
Verdachte nieuwe ransomwaregroep claimt Sony-hack PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.

Een nieuwe bedreigingsacteur biedt zogenaamd bestanden aan gestolen van Sony op het Dark Web, maar er is discussie gaande over hoe de groep de gegevens van de entertainmentgigant heeft verkregen en hoe waardevol deze eigenlijk zijn.

Een operatie genaamd “Ransomed” of “RansomedVC” – op dit moment iets meer dan een maand oud – plaatste maandag een bericht op de Dark Web-leksite en beweerde “alle Sony [sic]-systemen in gevaar te hebben gebracht.” Nadat Sony weigerde te betalen, verkoopt de groep de gegevens nu aan de gemeenschap.

Maar in een post op X (voorheen Twitter) voor ‘nerds’ die op 25 september omhoog ging, verduidelijkte vx-underground dat de groep “geen ransomware heeft ingezet, dat er geen bedrijfsgegevens zijn gestolen en dat de diensten niet zijn beïnvloed.” Wat het wel deed, zo lijkt het, was het verzamelen van gegevens van verschillende ontwikkelaarstools die door het bedrijf worden gebruikt, waaronder Jenkins, SVN, SonarQube en Creator Cloud Development, evenals enkele andere waarschijnlijk niet-kritieke inloggegevens en bestanden.

Op het moment van publicatie had Sony niet gereageerd op het verzoek van Dark Reading om commentaar. Een vertegenwoordiger van Sony vertelde aan SecurityWeek dat zij de situatie onderzoekt.

Wat werkelijk is gebeurd

Om zijn prestatie te bewijzen, heeft Ransomed blijkbaar een bestandsboom voor het hele lek bijgevoegd in zijn Dark Web-lijst. Het bevat echter in totaal minder dan 6,000 bestanden, nauwelijks “allemaal van Sony”.

Op online prikborden, hackers en geïnteresseerde partijen maakte grapjes over de discrepantie. En in een forumpost over cybercriminaliteit ging een gebruiker met de naam “Major Nelson” nog een stap verder: alle gegevens publiceren ze beweren dat Ransomed heeft gestolen. (Het is onduidelijk hoe een van deze partijen deze gegevens heeft verkregen.) Het bevatte deze infrastructuurbestanden, evenals een apparaatemulator voor het genereren van licenties, beleid voor incidentrespons, ‘veel inloggegevens voor interne systemen’ en meer.

Majoor Nelson leek de ernst van dit alles te bagatelliseren. ‘Jullie journalisten geloven dat de ransomware-ploeg leugens is. Veel te goedgelovig, je zou je moeten schamen. RansomedVC's zijn oplichters die u alleen maar proberen op te lichten en invloed na te jagen. Geniet van het lek”, schreven ze.

Sinds de eerste post lijkt de groep zelf haar berichten te veranderen. In een recentere forumpost vastgelegd door SOCRadar, beweerde een aan Ransomed gelieerde onderneming dat het “toegang tot Sony-infrastructuur” verkoopt.

Dit is niet de eerste keer dat de jonge dreigingsacteur zijn prestaties overdrijft.

Wie worden vrijgekocht?

Ransomed.vc werd op 15 augustus gelanceerd als een nieuw hackerforum. Maar de volgende dag werd het slachtoffer van een DDoS-aanval. Daarna hebben de beheerders het omgedoopt tot een leksite voor een ransomware-operatie.

Ferhat Dikbiyik, hoofd onderzoek bij Black Kite, volgt de groep via zijn online kanalen. “Het ding over deze groep is dat we tot nu toe hebben geregistreerd hoeveel … 41 slachtoffers? En misschien komt de helft daarvan uit Bulgarije. Ze richten zich dus echt op kleine bedrijven in kleine landen”, zegt hij.

Vergelijk dat eens met zijn grootse beweringen over Sony en Transunion, waarvoor het beweerde te hebben gestolen “alles wat hun medewerkers ooit hebben gedownload of gebruikt op hun systemen.”

Het is een amateuroutfit, legt Dikbiyik uit. “Ik denk dat het twee weken geleden is dat ze een bedrijf hebben gehackt en hun website hebben gewijzigd. Website-defacement is een heel ouderwets script – de meer aanhalingstekens ‘professionele’ ransomware-groepen doen dat niet – omdat ze het slachtoffer niet willen ontmaskeren en hun invloed willen verliezen.”

Dikbiyik concludeert: “Ze willen gewoon een reputatie opbouwen.”

Tijdstempel:

Meer van Donkere lezing