Ransomware

AMD, il gruppo RansomHouse rivendica il furto di 450 GB di dati: cosa sappiamo

Il gruppo criminale RansomHouse rivendica il furto di 450 GB di dati ai danni della multinazionale tecnologica AMD: sebbene l’attacco non sia stato ancora confermato ufficialmente, la cyber gang ne dà notizia tramite il sito e il canale Telegram. Ecco cosa sappiamo del presunto incidente

28 Giu 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Advanced Micro Devices, si legge come ultima voce all’interno del sito Web di esposizione delle vittime del gruppo ransomware chiamato RansomHouse: un post nel quale il gruppo criminale rivendica il fatto di aver colpito il gigante della tecnologia AMD.

La rivendicazione dell’attacco contro AMD

Non ci sono ancora conferme ufficiali su questa operazione, ma la volontà comunicativa della cyber gang è chiara: ci si attribuisce la responsabilità di un attacco ransomware contro AMD, colosso dei microprocessori, la più grande azienda del settore a livello mondiale, insieme a Intel, con sede a Santa Clara in California.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity

Oltre che sul sito del gruppo ransomware, la rivendicazione viene rilanciata anche su Telegram, in quello che sembra essere nato come il canale di comunicazione di RansomHouse.

Come può essere accaduto?

Se l’incidente venisse confermato sarebbe un fatto grave, anche vista la quantità di dati che sono stati esfiltrati: RansomHouse parla di un archivio di 450 GB. Inoltre, sempre in coda all’annuncio di rivendicazione, viene fatto cenno a una abitudine interna di AMD, presumibilmente adottata da una cerchia di dipendenti, secondo la quale le password scelte per le macchine professionali, sarebbero scelte in maniera decisamente poco “strong”.

È infatti curioso notare come i membri del gruppo ransomware abbiano inserito questa nota all’interno dell’annuncio di AMD:

Nella quale si evidenzia, oltre i giochi di parole nei confronti del gigante della tecnologia, che “anche i giganti della tecnologia come AMD usano password semplici come “password”, “P@ssw0rd”, “123456”, “123qwe-“, “Password0”, “amd!23”, “123456a .’ e ‘12345qwert*’ per proteggere le loro reti dalle intrusioni”.

Una chiara contestazione, esposta pubblicamente, che potrebbe far ipotizzare, qualora l’attacco venisse confermato, che gli accessi esterni a materiale interno alla società non sono adeguatamente protetti dalle buone pratiche note di sicurezza informatica. L’ipotesi (qualora verificata) sembra appunto abbracciare il fatto che gli attaccanti siano riusciti a penetrare l’infrastruttura informatica, un settore o un insieme di macchine, grazie al fatto che le password di accesso a determinate piattaforme, presumibilmente esposte ad Internet, non erano adeguatamente protette, esfiltrandone così il contenuto con il quale sono riusciti ad entrare in contatto.

C’è anche un sample dell’attacco

Come è prassi ormai diffusa, a corredo dell’annuncio di rivendicazione, il gruppo criminale inserisce ed espone un piccolo sample, dimostrativo dell’effettivo successo dell’attacco che si rivendica.

In questo caso, viene attribuito ad AMD un piccolo insieme di file, liberamente consultabile sotto rete Tor, nel Data Leak Site (DLS) di RansomHouse, che comprende file in formato testo contenenti liste di dati sensibili: una lunga lista di combinazioni “nome utente e password”, dei log di sistema e degli elenchi di macchine interne all’infrastruttura.

Non si ha al momento contezza dell’entità di questi 450 GB di dati potenzialmente rubati, soprattutto sul contenuto e sulla qualità in termini di segretezza e sensibilità. Cyber Security 360 avrà cura di aggiornare questo articolo qualora l’attacco venisse confermato da un comunicato ufficiale dell’azienda.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4