Catalin Cimpanu, ancien journaliste spécialiste de la cybersécurité a posté sur son compte Twitter officiel : « Le groupe de cybercriminels RansomHouse a affirmé qu'il disposait de données du fabricant de puces AMD. Des rumeurs ont circulé plus tôt dans l'année selon lesquelles AMD aurait été touché par un ransomware, mais elles n'ont jamais été confirmées officiellement. »Si les affirmations sont exactes, AMD a été la cible du groupe d'extorsion RansomHouse, qui affirme être assis sur un trésor de données volées au concepteur de processeurs à la suite d'une prétendue violation de la sécurité en début d'année. RansomHouse affirme avoir obtenu les fichiers à la suite d'une intrusion dans le réseau d'AMD le 5 janvier 2022, et qu'il ne s'agit pas de matériel provenant d'une précédente fuite de sa propriété intellectuelle.
Cette équipe de cybercriminel, relativement nouvelle, affirme également qu'elle ne porte pas atteinte à la sécurité des systèmes elle-même, ni ne développe ou n'utilise de rançongiciel. Elle jouerait plutôt le rôle de « médiateur » entre les cybercriminel et les victimes afin de garantir la restitution des données volées après paiement d’une rançon.
RansomHouse a déclaré sur son site web qu'il détenait « 450 Go ». Cependant, il n'est pas clair si le groupe veut dire "gigaoctets" ou "gigabits". Le matériel a été volé aurait été volé à AMD en janvier, selon les mécréants.
Le spécialiste de la protection de la vie privée en ligne RestorePrivacy a déclaré dans un billet de blog qu'il avait examiné l'échantillon de données et qu'il comprenait des fichiers réseau, des informations système et des mots de passe AMD recueillis lors de la prétendue violation. Selon le groupe RansomHouse, AMD utilisait des mots de passe simples pour protéger son réseau.
« Une ère de technologie haut de gamme, de progrès et de sécurité de pointe... il y a tant de choses dans ces mots pour les foules », a écrit le gang sur son site. « Mais il semble que ce ne soient encore que de beaux mots quand même des géants de la technologie comme AMD utilisent des mots de passe simples comme 'password' ... pour protéger leurs réseaux des intrusions. C'est une honte que ce soient de vrais mots de passe utilisés par les employés d'AMD, mais une plus grande honte pour le département de sécurité d'AMD qui obtient des financements importants selon les documents sur lesquels nous avons mis la main, tout cela grâce à ces mots de passe. »
Les cybercriminels ont également placé AMD sur une liste de victimes qui, selon eux, « auraient considéré que leur gain financier était supérieur aux intérêts de leurs partenaires et individus qui leur ont confié leurs données, soit choisi de dissimuler le fait qu'elles ont été compromises. »
RestorePrivacy a suggéré que cela pourrait indiquer qu'AMD n'a pas encore payé de rançon pour les données volées. Cimpanu a suggéré que les données « pourraient provenir d'un partenaire d'AMD, mais RansomHouse pourrait essayer de les faire passer pour celles d'AMD afin d'obtenir une couverture médiatique plus accrocheuse. Ces groupes utilisent souvent cette tactique pour ajouter de la pression sur les contractants en amont d'une victime. Voir l'incident Quanta de REvil, où ils ont prétendu que c'était Apple ».
Par exemple, Gigabyte, partenaire d'AMD et fabricant de cartes mères à Taïwan, a été compromis en août 2021 par le groupe de ransomware RansomeXX, qui aurait volé pas moins de 112 Go de données.
RansomHouse est un acteur relativement nouveau sur la scène de la cybercriminalité, apparu en décembre 2021. Selon RestorePrivacy, la première victime de RansomHouse a été la Saskatchewan Liquor and Gaming Authority. Au total, le groupe recense six victimes, dont ShopRite, une grande chaîne de magasins en Afrique. Au début du mois, RansomHouse a divulgué des données qui avaient été volées à cette entreprise.
Dans un billet de blog publié à la fin du mois dernier, ils ont noté que d'autres chercheurs en sécurité ont suggéré que la bande d'extorsion pourrait être composée de white hats qui sont frustrés par l'état de la sécurité et punissent les organisations pour les défenses laxistes de leur infrastructure. Les chercheurs affirment que RansomHouse pénètre dans les réseaux en exploitant les vulnérabilités pour voler des données et contraint les victimes à payer, de peur que leurs données ne soient vendues au plus offrant. Et si aucun criminel n'est intéressé par l'achat des données, le groupe les met en vente sur son site web.
Cela contredirait les affirmations du groupe selon lesquelles il ne fait que jouer le rôle de « médiateur professionnel » entre les voleurs d'informations et leurs victimes. Sur la page « À propos » du site de RansomHouse, le groupe se présente comme « une communauté de médiateurs professionnels ». Toutefois, les chercheurs en renseignements sur les menaces de Malwarebytes Labs classent RansomHouse dans la catégorie des grey hats.
Rappelons qu’un black hat est un cybercriminel mal intentionné, par opposition aux white hats, qui sont les cybercriminels aux bonnes intentions. Les black hats ont une nette préférence pour les actions illégales. Cela va de la création de virus aux chevaux de Troie en passant par les vers et les logiciels espions.
Ces personnes utilisent leurs compétences informatiques de façon à en tirer un bénéfice financier ou bien dans le but de nuire à des individus ou à des organisations. Plus généralement, ils utilisent leur savoir pour découvrir des choses qui leur sont cachées. Leur nombre ne cesse de grandir étant donné la valeur de plus en plus grande des informations dans la guerre économique.
L'existence d'un troisième chapeau est intrigante mais pas surprenante. Elle indique que les chapeaux noirs ont le potentiel de faire le bien. D'autre part, les chapeaux blancs peuvent mettre un pied du côté obscur tout en laissant un pied rassurant dans la lumière. Des chercheurs en sécurité ont émis l'hypothèse qu'un nouveau groupe d'extorsion appelé RansomHouse est une équipe de chapeaux blancs "frustrés" qui ont été collectivement poussés au point de punir les organisations qui continuent à avoir une sécurité laxiste dans leur infrastructure.
RansomHouse est un nouveau groupe de cybercriminel qui s'introduit dans les réseaux des victimes en exploitant les vulnérabilités pour voler des données et contraint les victimes à payer, de peur que leurs données ne soient vendues au plus offrant. Et si aucun criminel n'est intéressé par l'achat des données, le groupe les divulgue sur son site de fuite.
Ce groupe est également unique dans la manière dont il extorque de l'argent aux victimes. Ils semblent se présenter comme des testeurs de pénétration et des chasseurs de bogues plus que comme des extorqueurs en ligne ordinaires. Après avoir volé des données à leurs cibles, ils proposent de les supprimer et fournissent ensuite un rapport complet sur les vulnérabilités qu'ils ont exploitées et comment. À l'instar des groupes de hackers, ils disposent également de canaux, un compte Telegram et un site de fuite pour communiquer avec les victimes, les journalistes et ceux qui souhaitent suivre leurs activités.
RansomHouse serait apparu en décembre 2021 et compte actuellement quatre victimes, la première étant la Saskatchewan Liquor and Gaming Authority (SLGA) du Canada, un organisme de réglementation de l'alcool, du cannabis et de la plupart des jeux d'argent dans la province, qui a signalé pour la première fois une violation au cours de ce même mois et de cette même année.
Et vous ?
Quel est votre avis sur le sujet ? Quelle appréciation faites vous de la méthode utilisé par le groupe RansomHouse ? À votre avis, le groupe RansomHouse est-il hacker chapeau blanc ou hacker chapeau gris ?Voir aussi
Un hacker de 19 ans trouve un bogue qui lui permet de contrôler plus de 25 Tesla à distance, mais la faille exploitée ne se trouverait pas dans l'infrastructure de Tesla Un hacker de 12 ans pirate des sites officiels pour Anonymous en échange de jeux vidéo « et il a dit aux autres comment faire » ajoute la police Un hacker a divulgué les paramètres des développeurs Autopilot et Full Self-Driving (FSD) de Tesla, des photos et vidéos ont été publiées sur Twitter Un hacker signale une faille qui lui a permis d'ajouter des fonds illimités à son portefeuille Steam, et reçoit une prime de 7 500 $ US