GIGABYTE a été touché par le ransomware RansomEXX

0

Le fabricant taïwanais de cartes mères Gigabyte a été touché par le gang de ransomware RansomEXX, qui menace de publier 112 Go de données volées à moins qu’une rançon ne soit payée.

Gigabyte est surtout connu pour ses cartes mères, mais fabrique également d’autres composants et matériels informatiques, tels que des cartes graphiques, des serveurs de centres de données, des ordinateurs portables et des moniteurs.

L’attaque s’est produite tard dans la nuit du 4 Août et a forcé l’entreprise à fermer ses systèmes à Taïwan. L’incident a également affecté plusieurs sites Web de la société, y compris son site d’assistance et des parties du site Web taïwanais.

gigabyte
Le support de Gigabyte en panne en raison d’une attaque de ransomware

Les clients ont également signalé des problèmes d’accès aux documents d’assistance ou de réception d’informations mises à jour sur les RMA, ce qui est probablement dû à l’attaque de ransomware.

Selon le site d’information chinois United Daily News, Gigabyte a confirmé avoir subi une cyberattaque qui a touché un petit nombre de serveurs.

Après avoir détecté l’activité anormale sur leur réseau, ils avaient arrêté leurs systèmes informatiques et averti les forces de l’ordre.

Si vous avez des informations de première main sur cette cyberattaque ou sur d’autres cyberattaques non signalées, vous pouvez nous contacter en toute confidentialité sur Signal au +16469613731 ou sur Wire à @lawrenceabrams-bc.

Gigabyte subit une attaque du ransomware RansomEXX

Alors que Gigabyte n’a pas officiellement déclaré quelle opération de ransomware a effectué l’attaque, des chercheurs ont appris qu’elle avait été menée par le gang RansomEXX.

Lorsque les opérateurs RansomEXX chiffrent un réseau, ils créent des notes de rançon sur chaque appareil chiffré.

Ces notes de rançon contiennent un lien vers une page non publique destinée à n’être accessible qu’à la victime pour tester le décryptage d’un fichier et laisser une adresse e-mail pour commencer les négociations de rançon.

Une source a envoyé un lien vers une page de fuite non publique de RansomEXX pour Gigabytes Technologies, où les pirates informatiques prétendent avoir volé 112 Go de données lors de l’attaque.

Dans une demande de rançon également vue par les chercheurs, les pirates informatiques déclarent « Bonjour, Gigabyte (gigabyte.com)! » et inclut le même lien vers la page de fuite privée partagée avec nous par notre source.

gigabyte
Page de fuite de données Gigabyte non publique

Sur cette page de fuite privée, les acteurs de la menace affirment avoir volé 112 Go de données d’un réseau interne Gigabyte, ainsi que le référentiel américain Megatrends Git.

Nous avons téléchargé 112 Go (120 971 743 713 octets) de vos fichiers et nous sommes prêts à les PUBLIER. Beaucoup d’entre eux sont sous NDA (Intel, AMD, American Megatrends). Sources de fuite : newautobom.gigabyte.intra, git.ami.com.tw et quelques autres.

Les pirates informatiques ont également partagé des captures d’écran de quatre documents confidentiels volés lors de l’attaque.

Bien que nous ne publierons pas les images divulguées, les documents confidentiels incluent un document de débogage américain Megatrends, un document Intel « problèmes potentiels », un « calendrier de mise à jour de la pile Ice Lake D SKU » et un guide de révision AMD.

Ce que vous devez savoir sur RansomEXX

L’opération de ransomware RansomEXX a commencé à l’origine sous le nom Defray en 2018, mais a été renommée RansomEXX en juin 2020 lorsqu’elle est devenue plus active.

Comme d’autres opérations de ransomware, RansomEXX violera un réseau via le protocole de bureau à distance, des exploits ou des informations d’identification volées.

Une fois qu’ils auront accès au réseau, ils récolteront plus d’informations d’identification à mesure qu’ils prendront progressivement le contrôle du contrôleur de domaine Windows. Au cours de cette propagation latérale à travers le réseau, le gang de ransomware volera les données des appareils non cryptés utilisés comme levier dans l’extorsion de rançon.

RansomEXX ne cible pas seulement les appareils Windows, mais a également créé un chiffreur Linux pour chiffrer les machines virtuelles exécutant des serveurs VMware ESXi.

Au cours du mois dernier, le gang RansomEXX est devenu plus actif car ils ont récemment attaqué la région italienne du Latium et la Corporación Nacional de Telecomunicación (CNT) en Equateur.

Parmi les autres attaques très médiatisées du gang des ransomwares figurent les réseaux du gouvernement brésilien, le ministère des Transports du Texas (TxDOT), Konica Minolta, IPG Photonics et Tyler Technologies.

Laisser un commentaire