AMD es la última en caer: un grupo de piratas asegura haber robado 450 GB de información sensible | Tecnología

NVIDIA sufre un ciberataque que ha desactivado parte de sus sistemas durante dos días,  y parece que AMD es la siguiente en sufrir un gran ataque de ciber seguridad , con 450 GB de datos robados por el grupo de piratas informáticos bautizados como RansomHouse. El experto periodista de ciber seguridad , Catalin Cimpanu, afirma que RansomHouse, un grupo de piratas y extorsionistas, ha robado datos de AMD. Aunque no hay informes sobre cuándo se produjo este intento de pirateo, los rumores al respecto se remontan a principios de año.

RansomHouse afirma que no desplegaron ningún ransomware por lo que podría haber sido un intento fallido de tratar de monetizar algunos datos robados. El grupo afirma que fueron capaces de robar alrededor de 450 GB de datos de los servidores de AMD. 

El ataque se inició el 5 de enero de 2022. No se ha confirmado si el valor de los datos. Actualmente, no hay pruebas de sí los datos fueron realmente robados de AMD o si la compañía fue el objetivo principal de la infiltración o un portal diferente que podría ser un socio de AMD.

The RansomHouse leak group has claimed today that they have data from chipmaker AMD.

Unverified. There were some rumors earlier this year that AMD was hit by ransomware, but they were never confirmed officially confirmed.

(via @CSICCybersecur1) pic.twitter.com/gGybb3lwzq

— Catalin Cimpanu (@campuscodi) June 27, 2022

Restore Privacy, informa que la mayoría de los datos incluyen archivos de red, información del sistema y contraseñas de AMD. AMD todavía no ha hecho ninguna declaración, pero debemos recordar que NVIDIA también sufrió un ciberataque similar a principios. La diferencia es que entonces los hackers consiguieron hacerse con grandes cantidades de documentos confidenciales relacionados con los trabajos de NVIDIA en materia de hardware y software y los filtraron al público.

El código fuente del DLSS y los nombres y especificaciones de las GPU de nueva generación estaban en la lista de datos filtrados. NVIDIA contraataca: encripta 1 TB de datos que supuestamente le han robado, e instala un ransomware en el PC de los ciberdelincuentes eso sí, en NVIDIA aseguraron contraatacar a los piratas encriptando sus ordenadores.

Si eres cliente de Acer es posible que estés en peligro: la compañía confirma que un grupo de piratas les ha vuelto a hackear Gigabyte y ACER también fue objeto de un importante ataque con la filtración de varios archivos confidenciales de productos de Intel y AMD, incluidas las especificaciones de las CPU Ryzen y EPYC con tecnología Zen 4.

Los investigadores rastrean los ataques de espionaje generalizados hasta los piratas informáticos chinos 'cigarra'

Se ha atribuido a un grupo de amenazas persistentes avanzadas (APT) respaldado por el estado chino conocido por señalar a entidades japonesas una nueva campaña de espionaje de larga duración dirigida a nuevas geografías, lo que sugiere una «ampliación» de los objetivos del actor de amenazas.

Las intrusiones generalizadas, que se cree que comenzaron como mínimo a mediados de 2021 y continuaron en febrero de 2022, se vincularon a un grupo rastreado como Cicada, que también se conoce como APT10, Stone Panda, Potasio, Bronce Riverside, o Equipo MenuPass.

"Las víctimas de esta campaña Cicada (también conocida como APT10) incluyen organizaciones gubernamentales, legales, religiosas y no gubernamentales (ONG) en varios países del mundo, incluso en Europa, Asia y América del Norte", investigadores del Symantec Threat Hunter Team. , parte de Broadcom Software, en un informe compartido con The Hacker News.

"Hay un fuerte enfoque en las víctimas en los sectores del gobierno y las ONG, y algunas de estas organizaciones trabajan en las áreas de religión y educación", dijo a The Hacker News Brigid O. Gorman, desarrolladora de información sénior en Symantec Threat Hunter Team.

La mayoría de las organizaciones objetivo están ubicadas en los EE. UU., Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia, junto con una víctima en Japón, y el adversario pasa hasta nueve meses en las redes de algunas de estas víctimas.

"También hay algunas víctimas en los sectores de telecomunicaciones, legal y farmacéutico, pero las organizaciones gubernamentales y sin fines de lucro parecen haber sido el foco principal de esta campaña", agregó Gorman.

En marzo de 2021, los investigadores de Kaspersky cerraron una operación de recopilación de inteligencia realizada por el grupo para implementar implantes de recopilación de información de varios sectores industriales ubicados en Japón.

Luego, a principios de febrero, Stone Panda estuvo implicado en un ataque organizado a la cadena de suministro dirigido al sector financiero de Taiwán con el objetivo de robar información confidencial de los sistemas comprometidos.

El nuevo conjunto de ataques observado por Symantec comienza cuando los actores obtienen acceso inicial a través de una vulnerabilidad conocida y sin parches en los servidores de Microsoft Exchange, usándola para implementar su puerta trasera preferida, SodaMaster.

"Sin embargo, no observamos que los atacantes explotaran una vulnerabilidad específica, por lo que no podemos decir si aprovecharon [fallas] de ProxyShell o ProxyLogon", dijo Gorman.

SodaMaster es un troyano de acceso remoto basado en Windows que está equipado con funciones para facilitar la recuperación de cargas útiles adicionales y filtrar la información de regreso a su servidor de comando y control (C2).

Otras herramientas implementadas durante las infiltraciones incluyen la utilidad de volcado de credenciales Mimikatz, NBTScan para realizar un reconocimiento interno, WMIExec para la ejecución remota de comandos y VLC Media Player para iniciar un cargador personalizado en el host infectado.

"Esta campaña con víctimas en un número tan grande de sectores parece mostrar que el grupo ahora está interesado en una variedad más amplia de objetivos", dijo Gorman.

"El tipo de organizaciones objetivo (organizaciones sin fines de lucro y gubernamentales, incluidas las involucradas en actividades religiosas y educativas) es más probable que sean de interés para el grupo con fines de espionaje. El tipo de actividad que vemos en las máquinas de las víctimas y la actividad Cicada pasada también todos señalar que la motivación detrás de esta campaña es el espionaje".