Una operación de extorsión de datos relativamente nueva que se conoce con el nombre de RansomHouse parece haber entregado los sistemas del especialista en semiconductores AMD, robando más de 450 GB de los datos de la organización y exigiendo un rescate.
Como informó inicialmente Restaurar privacidadque dijo que la pandilla misma le avisó, los sistemas de AMD se vieron comprometidos por primera vez en enero de 2022. Ahora han aparecido muestras de los datos de AMD en el sitio web oscuro del grupo, y Restaurar privacidad ha verificado que los datos parecen ser auténticos.
El informe continuó citando al operativo de RansomHouse afirmando que los responsables de la protección de la red en AMD habían estado usando la contraseña “contraseña”. Esto puede ser una indicación de un ataque de relleno de credenciales exitoso.
Contactado con éxito por computadora pitidola pandilla, que insiste en afirmar que no es una operación de ransomware tradicional, dijo que no se había puesto en contacto con AMD para exigir dinero, ya que valdría más la pena vender los datos robados a otros actores de amenazas.
En respuesta al informe, AMD dijo que estaba al tanto de un actor malicioso que afirmaba estar en posesión de sus datos y que había iniciado una investigación.
Como siempre en tales situaciones, existe una falta de claridad sobre la naturaleza precisa de la situación, incluidos factores como cómo se obtuvieron los datos y cuándo, aunque ha habido un rumor persistente que AMD fue atacada por ransomware a principios de este año.
Sería imprudente tomar la palabra de RansomHouse, ya que se sabe que las operaciones delictivas cibernéticas hacen afirmaciones falsas cuando buscan publicidad.
¿Quién es RansomHouse?
RansomHouse, un nuevo jugador en la clandestinidad ciberdelincuente de rápida evolución, surgió a fines de 2021 y, hasta la fecha, su sitio de fugas en la web oscura ha enumerado un total de seis víctimas. Su primera víctima, en diciembre de 2021, fue la Autoridad de Juegos y Bebidas Alcohólicas de Saskatchewan (SLGA) de Canadá. Más recientemente, filtró datos robados del minorista ShopRite con sede en Sudáfrica, que es el mayor empleador del sector privado de África.
Según la información de inteligencia publicada en mayo de 2022 por Cyberint, la pandilla se destaca por no apegarse al modelo tradicional de una operación de extorsión de datos, alegando estar motivada por algo más que una simple ganancia financiera y presentando a sus víctimas como los verdaderos villanos por no tomarse la seguridad en serio. .
Cyberint dijo que había confirmado que las campañas de RansomHouse se centraban únicamente en la extorsión y que no poseía ni desarrollaba ningún módulo de encriptación.
Jim Simpson, director de inteligencia de amenazas en Searchlight Security, dijo que RansomHouse parecía estar llevando al extremo el arquetipo de una pandilla de extorsión de datos “ética”, el tipo de actores maliciosos que afirman que su motivación es simplemente mejorar los estándares de seguridad de la información de sus víctimas, aunque realizando pruebas de penetración no programadas.
“Si bien la actitud de RansomHouse puede ser inusual, sus métodos y motivaciones son tan comunes y mercenarios como los de cualquier otro criminal”
Jonathan Knudsen, Centro de Investigación de Ciberseguridad de Synopsys
“RansomHouse afirma que su objetivo principal es ‘minimizar el daño que podrían sufrir las partes relacionadas y crear conciencia sobre los problemas de seguridad y privacidad de los datos”, dijo Simpson.
“Sin embargo, su frustración declarada con las cantidades de recompensas por errores ‘ridículamente pequeñas’ pagadas por las empresas y toda la operación (manteniendo los datos como rehenes hasta que la víctima paga el rescate, o vendiéndolos a otros actores de amenazas en caso de que se nieguen) deja en claro que ellos son una amenaza motivada financieramente y quieren dinero de sus víctimas”, agregó.
“Si las víctimas se niegan a pagar el rescate solicitado y nadie decide comprarlo, RansomHouse compartirá públicamente los datos robados en su sitio de relaciones públicas en la web oscura y en el canal de Telegram”, continuó Simpson.
“En otro intento de crear una apariencia de benevolencia, el grupo afirma que las personas que temen ser parte de un conjunto de datos que pronto se filtrará pueden solicitar a través de Telegram que se elimine su información antes de la publicación; sin embargo, nuestra evaluación es que es es poco probable que sea verdad.”
Jonathan Knudsen, jefe de investigación global en el Centro de Investigación de Ciberseguridad de Synopsys, agregó: “Los adversarios de la seguridad cibernética vienen en todas las formas y tamaños, con todo tipo de motivaciones. Recientemente, RansomHouse se ha involucrado con un giro cibernético en la vergüenza de las víctimas. Aseguran que ‘los culpables son los que no pusieron cerrojo a la puerta dejándola abierta de par en par invitando a todos a entrar’.
“[But] las organizaciones que tienen una seguridad cibernética deficiente no merecen ser víctimas. Si pasaras por delante de una casa y vieras la puerta abierta, ¿qué harías? No entraría en la casa sin ser invitado, y no robaría un televisor o joyas solo para demostrar que el dueño de la casa no estaba siguiendo buenas prácticas de seguridad.
“Si bien la actitud de RansomHouse puede ser inusual, sus métodos y motivaciones son tan comunes y mercenarios como los de cualquier otro criminal”, señaló Knudsen.
