Catalin Cimpanu, ancien journaliste spcialiste de la cyberscurit a post sur son compte Twitter officiel : Le groupe de cybercriminels RansomHouse a affirm qu’il disposait de donnes du fabricant de puces AMD. Des rumeurs ont circul plus tt dans l’anne selon lesquelles AMD aurait t touch par un ransomware, mais elles n’ont jamais t confirmes officiellement.
Si les affirmations sont exactes, AMD a t la cible du groupe d’extorsion RansomHouse, qui affirme tre assis sur un trsor de donnes voles au concepteur de processeurs la suite d’une prtendue violation de la scurit en dbut d’anne. RansomHouse affirme avoir obtenu les fichiers la suite d’une intrusion dans le rseau d’AMD le 5 janvier 2022, et qu’il ne s’agit pas de matriel provenant d’une prcdente fuite de sa proprit intellectuelle.
Cette quipe de cybercriminel, relativement nouvelle, affirme galement qu’elle ne porte pas atteinte la scurit des systmes elle-mme, ni ne dveloppe ou n’utilise de ranongiciel. Elle jouerait plutt le rle de mdiateur entre les cybercriminel et les victimes afin de garantir la restitution des donnes voles aprs paiement dune ranon.
RansomHouse a dclar sur son site web qu’il dtenait 450 Go . Cependant, il n’est pas clair si le groupe veut dire « gigaoctets » ou « gigabits ». Le matriel a t vol aurait t vol AMD en janvier, selon les mcrants.
Le spcialiste de la protection de la vie prive en ligne RestorePrivacy a dclar dans un billet de blog qu’il avait examin l’chantillon de donnes et qu’il comprenait des fichiers rseau, des informations systme et des mots de passe AMD recueillis lors de la prtendue violation. Selon le groupe RansomHouse, AMD utilisait des mots de passe simples pour protger son rseau.
Une re de technologie haut de gamme, de progrs et de scurit de pointe… il y a tant de choses dans ces mots pour les foules , a crit le gang sur son site. Mais il semble que ce ne soient encore que de beaux mots quand mme des gants de la technologie comme AMD utilisent des mots de passe simples comme ‘password’ … pour protger leurs rseaux des intrusions. C’est une honte que ce soient de vrais mots de passe utiliss par les employs d’AMD, mais une plus grande honte pour le dpartement de scurit d’AMD qui obtient des financements importants selon les documents sur lesquels nous avons mis la main, tout cela grce ces mots de passe.
Les cybercriminels ont galement plac AMD sur une liste de victimes qui, selon eux, auraient considr que leur gain financier tait suprieur aux intrts de leurs partenaires et individus qui leur ont confi leurs donnes, soit choisi de dissimuler le fait qu’elles ont t compromises.
RestorePrivacy a suggr que cela pourrait indiquer qu’AMD n’a pas encore pay de ranon pour les donnes voles. Cimpanu a suggr que les donnes pourraient provenir d’un partenaire d’AMD, mais RansomHouse pourrait essayer de les faire passer pour celles d’AMD afin d’obtenir une couverture mdiatique plus accrocheuse. Ces groupes utilisent souvent cette tactique pour ajouter de la pression sur les contractants en amont d’une victime. Voir l’incident Quanta de REvil, o ils ont prtendu que c’tait Apple .
Par exemple, Gigabyte, partenaire d’AMD et fabricant de cartes mres Tawan, a t compromis en aot 2021 par le groupe de ransomware RansomeXX, qui aurait vol pas moins de 112 Go de donnes.
RansomHouse est un acteur relativement nouveau sur la scne de la cybercriminalit, apparu en dcembre 2021. Selon RestorePrivacy, la premire victime de RansomHouse a t la Saskatchewan Liquor and Gaming Authority. Au total, le groupe recense six victimes, dont ShopRite, une grande chane de magasins en Afrique. Au dbut du mois, RansomHouse a divulgu des donnes qui avaient t voles cette entreprise.
Dans un billet de blog publi la fin du mois dernier, ils ont not que d’autres chercheurs en scurit ont suggr que la bande d’extorsion pourrait tre compose de white hats qui sont frustrs par l’tat de la scurit et punissent les organisations pour les dfenses laxistes de leur infrastructure. Les chercheurs affirment que RansomHouse pntre dans les rseaux en exploitant les vulnrabilits pour voler des donnes et contraint les victimes payer, de peur que leurs donnes ne soient vendues au plus offrant. Et si aucun criminel n’est intress par l’achat des donnes, le groupe les met en vente sur son site web.
Cela contredirait les affirmations du groupe selon lesquelles il ne fait que jouer le rle de mdiateur professionnel entre les voleurs d’informations et leurs victimes. Sur la page propos du site de RansomHouse, le groupe se prsente comme une communaut de mdiateurs professionnels . Toutefois, les chercheurs en renseignements sur les menaces de Malwarebytes Labs classent RansomHouse dans la catgorie des grey hats.
Rappelons quun black hat est un cybercriminel mal intentionn, par opposition aux white hats, qui sont les cybercriminels aux bonnes intentions. Les black hats ont une nette prfrence pour les actions illgales. Cela va de la cration de virus aux chevaux de Troie en passant par les vers et les logiciels espions.
Ces personnes utilisent leurs comptences informatiques de faon en tirer un bnfice financier ou bien dans le but de nuire des individus ou des organisations. Plus gnralement, ils utilisent leur savoir pour dcouvrir des choses qui leur sont caches. Leur nombre ne cesse de grandir tant donn la valeur de plus en plus grande des informations dans la guerre conomique.
L’existence d’un troisime chapeau est intrigante mais pas surprenante. Elle indique que les chapeaux noirs ont le potentiel de faire le bien. D’autre part, les chapeaux blancs peuvent mettre un pied du ct obscur tout en laissant un pied rassurant dans la lumire. Des chercheurs en scurit ont mis l’hypothse qu’un nouveau groupe d’extorsion appel RansomHouse est une quipe de chapeaux blancs « frustrs » qui ont t collectivement pousss au point de punir les organisations qui continuent avoir une scurit laxiste dans leur infrastructure.
RansomHouse est un nouveau groupe de cybercriminel qui s’introduit dans les rseaux des victimes en exploitant les vulnrabilits pour voler des donnes et contraint les victimes payer, de peur que leurs donnes ne soient vendues au plus offrant. Et si aucun criminel n’est intress par l’achat des donnes, le groupe les divulgue sur son site de fuite.
Ce groupe est galement unique dans la manire dont il extorque de l’argent aux victimes. Ils semblent se prsenter comme des testeurs de pntration et des chasseurs de bogues plus que comme des extorqueurs en ligne ordinaires. Aprs avoir vol des donnes leurs cibles, ils proposent de les supprimer et fournissent ensuite un rapport complet sur les vulnrabilits qu’ils ont exploites et comment. l’instar des groupes de hackers, ils disposent galement de canaux, un compte Telegram et un site de fuite pour communiquer avec les victimes, les journalistes et ceux qui souhaitent suivre leurs activits.
RansomHouse serait apparu en dcembre 2021 et compte actuellement quatre victimes, la premire tant la Saskatchewan Liquor and Gaming Authority (SLGA) du Canada, un organisme de rglementation de l’alcool, du cannabis et de la plupart des jeux d’argent dans la province, qui a signal pour la premire fois une violation au cours de ce mme mois et de cette mme anne.
Et vous ?
Quel est votre avis sur le sujet ?
Quelle apprciation faites vous de la mthode utilis par le groupe RansomHouse ?
votre avis, le groupe RansomHouse est-il hacker chapeau blanc ou hacker chapeau gris ?
Voir aussi