Odavan több gigabájt, szenved most a Gigabyte - durva zsarolóvírus támadás érte a  hardvergyártó mamutot

A múlt hét elején szenvedett el az alaplapgyártó Gigagbyte egy elég kellemetlen zsarolóvírus támadást. A tajvani hardvergyártó mamutot feltételezhetően a RansomEXX csoport terítette le. 

A vállalat kénytelen volt a tajvani rendszereit leállítani, később a Gigabyte elismerte, hogy támadás érte a rendszereit, bár akkor még úgy fogalmaztak, hogy csak "kis számú" szervert érintett az esemény. Később azonban kiderült, hogy a baj ennél jóval nagyobb lehet. 

A Bleepingcomputer (feltehetőleg belsős forrásból) hozzájutott egy olyan ransom note-hoz, amelyet a támadók helyeztek el a titkosított fájlok mellett. A dokumentum tartalmazza azt a publikus linket, ahol az áldozat próbaképpen vissza tud állítani egy titkosított fájlt, illetve ahol meghagyhatja azt az email címet, amelyen keresztül elindulhat a digitális túsztárgyalás. 

A Gigabyte esetében a tájékoztató és tesztoldalon azonban olyan információk is megtalálhatók voltak, amelyek alapján a támadók 112GB adatot is ellophattak a Gigabyte rendszereiből, illetve az Amercian Megatrends Git tárolójából.

We have downloaded 112 GB (120,971,743,713 bytes) of your files and we are ready to PUBLISH it. Many of them are under NDA (Intel, AMD, American Megatrends).
Leak sources: newautobom.gigabyte.intra, git.ami.com.tw and some others.

A zsarolás így már duplafenekűnek mondható, ha a vállalat fizet, visszakaphatja az adatait és a támadók nem teszik közzé az ellopott fájlok. Ha pedig nem fizet...akkor nem csak rendelkezésre állásukban, hanem a bizalmasságot tekintve is sérülhetnek az adatok. 

A RansomEXX egy különösen érdekes állatfajta, mivel nem csak Windows, de Linux rendszereken is képes működni és képes eltitkosítani a Linuxos fájlokat. Egyébként egyre több olyan ransomware jelenik meg, amelyek már Linuxos verzióval is rendelkeznek, a RansomEXX mellett ilyen például a Pysa, Menispoza, Snatch vagy a PureLocker. 

A RansomEXX ezen belül is külön kasztba tartozik, mivel képes az ESX virtualizációs környezetek sérülékenységeit (például CVE-2019-5544 vagy CVE-2020-3981, stb) kihasználva a virtualizációs platform fájlrendszerét, a komplett virtuális gépeket is titkosítani.