Az ismert vállalat is áldozattá vált, a RansomEXX váltságdíjat követel az adatokért
Manapság már nem igen szorul magyarázatra, hogy a biztonságot az online térben még a legnagyobb ipari szereplők sem vehetik készpénznek. Miután a Microsoft mellett még a legnagyobb védelmi és biztonságtechnikai szolgáltatók közül is többen elestek, nem lepődünk meg azon, hogy az egyszerű hardvergyártók is az úgynevezett kiberbűnözők célkeresztjébe kerülnek. Most például a Gigabyte rendszerét törték fel, és a szokásos adattitkosítást is bevetették.
A tajvani illetőségű vállalatnál nem indult valami jól az augusztus, ugyanis nemrég hivatalosan is elismerték a történteket. Az aktuális esetről többek között a Bleeping Computer számolt be, miszerint az alaplapjairól és videokártyáiról jól ismert Gigabyte is online támadást szenvedett el, melyben több adattárolójukhoz is illetéktelenek fértek hozzá, információkat másoltak le, majd távozáskor kódoltak is egy adagot, így szerezve alkupozíciót a későbbi követelésekhez. A cég szóvivője eleinte igyekezett óvatosan kommunikálni és azt nyilatkozta, hogy a behatolók csak kevés szerverüket érték el, ám a sajtó jelenleg úgy tudja, hogy ez nem egészen fedi a valóságot. Mint kiderült, a támadás keddről szerdára virradó éjjel zajlott, a Gigabyte pedig a tajvani weboldala mellett nagyjából a teljes helyi rendszerét is kénytelen volt leállítani, hogy ezzel csökkentse a potenciális károkat.
Amint észlelték az esetet, a szerverek lekapcsolása után egyből értesítették a hatóságokat. A hivatalos tájékoztatás ugyan kifejezetten szűkszavúra sikerült, de a sajtó már magabiztosan hangoztatja, hogy a felelős a RansomEXX néven tevékenykedő csoport. Erre több részlet is utal, például kiderült, hogy a Gigabyte sem úszta meg a zsarolóvírust, mely a titkosított szervereken túl azért is problémás lehet, mivel az akció során mintegy 112GB adatot is sikerült elszipkázni tőlük, a csomag egy része pedig igazán érzékeny tartalommal bír. A Bleeping Computer nem csak ehhez a részlethez fért hozzá, de egy ismeretlen forrásán keresztül megszerezte és közzé is tette azt a zsarolólevelet is, melyet a támadók jó szokásuk szerint a Gigabyte szerverein is ott hagytak. Mikor a csapat végrehajtja egy hálózat, vagy adattár titkosítását, a kis jegyzetben meghagyják egy nem nyilvános oldal elérhetőségét, ahol az áldozat egyetlen kódolt fájlt feloldva megbizonyosodhat a fenyegetés hitelességéről, illetve meghagyhatja azt az e-mail címet, ahol ezt követően megkezdődhetnek a tárgyalások.
A privát oldalra érve az illetékesek, illetve a néhány beavatott újságíró azzal szembesült, hogy a hackerek állítása szerint nagyjából 112GB adat került a birtokukba, ami nagyrészt a Gigabyte belső hálózatából, illetve az American Megatrends Git Repository-ból (adattár) származnak. Maga a zsarolás persze ezután következett, ugyanis az is olvasható volt, hogy amennyiben követelések süket fülekre találnának, készen állnak az ellopott adatok közzétételére. A biztonság kedvéért azért néhány képernyőfotóval azt is bizonyították, hogy többek között az AMD-hez és az Intelhez köthető bizalmas információkat is birtokolnak, részben processzorokkal kapcsolatos belsős részletekkel, melyekre természetesen egytől-egyig érvényes titoktartási megállapodás vonatkozik. Ez azt jelenti, hogy bár úgy tűnhet, hogy most a Gigabyte nyaka körül szorul igazán a hurok, pár céges partnerüknek szintén nem lehet túl őszinte a mosolya.
A RansomEXX zsarolóvírus művelet eredetileg Defray néven indult 2018-ban, de 2020 júniusában RansomEXX-re keresztelték át, amikor aktívabbá váltak. Amint hozzáférést szereznek a hálózathoz, további hitelesítő adatokat gyűjtenek be, miközben szépen lassan átveszik az irányítást a Windows tartományvezérlő felett. A hálózaton való oldalirányú terjedés során a zsarolóvírus banda adatokat porszívóz fel a titkosítatlan eszközökről, amiket később a váltságdíj kizsarolásához használhat. Ez a módszer már sokaknak ismerős lehet, de RansomEXX-nek van egy másik érdekessége is, mivel nem csak a Windows-eszközöket veszi célba, hanem létrehozott egy Linux-titkosítót is a VMware ESXi szervereket futtató virtuális gépek titkosítására. Az elmúlt hónapban a RansomEXX egyre aktívabbá vált, mivel nemrégiben megtámadták az olaszországi Lazio régiót és az ecuadori állami Corporación Nacional de Telecomunicación (CNT) vállalatot is. A zsarolóvírus-banda további nagy nyilvánosságot kapott támadásai közé tartoznak Brazília kormányzati hálózatai, a texasi közlekedési minisztérium (TxDOT), a Konica Minolta, az IPG Photonics és a Tyler Technologies.
A tajvani hardvercégek között a Gigabyte távolról sem számít az elsőnek, a sorban ugyanis olyan nevek előzik meg, mint például az Acer, az AdvanTech, a Compal, a Quanta és a Garmin. Miután az újságírók átnézték a bizonyítékokat – melyeket természetesen már nem tettek közzé – felkeresték a Gigabyte-ot is, de egyelőre nem kaptak választ.