Nowa podejrzana grupa ransomware twierdzi, że włamał się do Sony

Nowa podejrzana grupa ransomware twierdzi, że włamał się do Sony

Znacznik czasu: 26 września 2023 5:20
Suspicious New Ransomware Group Claims Sony Hack PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Nowy ugrupowanie zagrażające rzekomo oferuje pliki skradziony Sony w Dark Web, ale wciąż trwa debata na temat tego, w jaki sposób grupa zdobyła dane giganta z branży rozrywkowej i jak bardzo są one wartościowe.

Operacja o nazwie „Ransomed” lub „RansomedVC” – istniejąca w tym momencie nieco ponad miesiąc – umieściła w poniedziałek na swojej stronie wycieków w Dark Web zawiadomienie, w którym twierdziła, że ​​„naruszyła [sic!] wszystkie systemy Sony [sic!]”. Po tym, jak Sony odmówiło zapłaty, grupa twierdzi, że teraz sprzedaje dane społeczności.

Ale w a post na X (dawniej Twitterze) dotyczący „nerdów”, który pojawił się 25 wrześniavx-underground wyjaśniło, że grupa „nie wdrożyła oprogramowania ransomware, nie skradziono żadnych danych korporacyjnych i nie miało to wpływu na usługi”. Wygląda na to, że zbierał dane z różnych narzędzi programistycznych używanych przez firmę, w tym Jenkins, SVN, SonarQube i Creator Cloud Development, a także inne prawdopodobnie niekrytyczne dane uwierzytelniające i pliki.

Do chwili publikacji firma Sony nie odpowiedziała na prośbę Dark Reading o komentarz. Przedstawiciel Sony powiedział SecurityWeek że bada sytuację.

Co się właściwie stało

Aby udowodnić swoje osiągnięcie, Ransomed najwyraźniej załączył drzewo plików całego wycieku na liście Dark Web. Zawiera jednak w sumie mniej niż 6,000 plików, co stanowi ledwie „wszystkie pliki Sony”.

Na forach dyskusyjnych online zarówno hakerzy, jak i zainteresowane strony naśmiewał się z tej rozbieżności. W jednym z postów na forum poświęconym cyberprzestępczości użytkownik o nazwisku „Major Nelson” poszedł o krok dalej: opublikowanie wszystkich danych twierdzą, że Ransomed ukradł. (Nie jest jasne, w jaki sposób którakolwiek z tych stron uzyskała te dane). Zawierało ono pliki infrastruktury, a także emulator urządzenia do generowania licencji, zasady reagowania na incydenty, „wiele danych uwierzytelniających do systemów wewnętrznych” i nie tylko.

Major Nelson zdawał się bagatelizować powagę sytuacji. „Wy, dziennikarze, wierzycie, że ekipa ransomware kłamstwa. Zbyt łatwowierny, powinieneś się wstydzić. RansomedVC to oszuści, którzy po prostu próbują cię oszukać i ścigać wpływy. Cieszcie się wyciekiem” – napisali.

Wydaje się, że od chwili pierwszego opublikowania grupa sama zmienia swój przekaz. W nowszy post na forum przechwycony przez SOCRadar, jeden z oddziałów Ransomed twierdził, że sprzedaje „dostęp do infrastruktury Sony”.

To nie pierwszy raz, kiedy młody ugrupowanie cyberprzestępcze wyolbrzymia swoje osiągnięcia.

Kto podlega okupowi?

Ransomed.vc został uruchomiony 15 sierpnia jako nowe forum hakerów. Ale już następnego dnia stał się ofiarą ataku DDoS. Następnie administratorzy zmienili nazwę witryny na witrynę wycieków oprogramowania ransomware.

Ferhat Dikbiyik, szef działu badań w Black Kite, śledził grupę za pośrednictwem kanałów internetowych. „Rzecz w tej grupie jest taka, że ​​zarejestrowaliśmy, ile… 41 ofiar do tej pory? A może połowa z nich pochodzi z Bułgarii. Dlatego naprawdę skupiają się na małych firmach w małych krajach” – mówi.

Porównaj to z wielkimi twierdzeniami na temat Sony i Transunion, za które twierdził, że ukradł „wszystko, co ich pracownicy [sic!] kiedykolwiek pobrali lub wykorzystali w ich systemach”.

It’s an amateur outfit, Dikbiyik explains. “I think it was two weeks ago they hacked a company, and changed their website. Website defacement is a very old-school script — the more quote-unquote ‘professional’ ransomware groups do not do that — because they do not want to expose the victim and lose leverage.”

Dikbiyik podsumowuje: „Chcą tylko zyskać reputację”.

Znak czasu:

Więcej z Mroczne czytanie