AMD から 450GB のデータが盗まれた:RansomHouse というギャングが犯行声明

AMD investigates RansomHouse hack claims, theft of 450GB data

2022/06/28 BleepingComputer — 半導体大手の AMD は、昨年に RansomHouse ギャングが、同社から 450GB のデータを盗んだと主張していることを受けて、このサイバー攻撃を調査していると発表した。RansomHouse は、企業ネットワークに侵入してデータを盗み出し、データを公開すると脅し、他の脅威アクターに販売すると脅すことで、身代金の支払いを要求するデータ強奪グループである。

1週間ほど前から RansomHouse は Telegram で、[A] で始まる有名な3文字の企業のデータを販売することを予告していた。そして昨日に、この恐喝グループは、データ漏洩サイトに AMD を追加し、450GB のデータを盗んだと主張している。

AMD on the RansomHouse stolen data marketplace
Source: BleepingComputer

昨日に RansomHouse は BleepingComputer に対して、およそ1年前に彼らのパートナーが AMD のネットワークに侵入したと伝えている。彼らの Web サイトでは、データを盗み出したのは 2022年1月5日 となってるが、この脅威の仕掛け人は、ハッカーたちが AMD のネットワークにアクセスできなくなった日付だと述べている。

以前にも RansomHouse は、White Rabbit などのランサムウェアの運用に関連していたが、デバイスを暗号化することはなく、また、今回の AMD にはランサムウェアは展開されていないと述べている。

この脅威アクターは、他のランサムウェアや脅威アクターにデータを売る方が利益が出るため、身代金を要求するための AMD への連絡は行わなかったと述べている。また、RansomHouse の代表者は BleepingComputer に対して、「我々のパートナーが時間の無駄と考えているため、AMD には連絡していない」と述べている。

RansomHouse は、盗み出したデータには、研究開発や財務の情報が含まれており、その価値を判断するために分析中であると主張している。この脅威アクターは、AMD の Windows ドメインから収集したとされる情報を含む、いくつかのファイル以外には、この盗み出したデータの証拠を提示していない。

流出した一連のデータには、AMD 内部ネットワークに属していると思われる、約7万台以上のデバイスのリストが含まれるほか、password/P@ssw0rd/amd!23/Welcome1 といった、脆弱なパスワードを持つユーザーの認証情報のリストとされるものも含まれている。

AMD は BleepingComputer に対して、「このクレームを認識しており、調査を行っている。AMD は、盗み出したデータを所持していると主張する、悪質な驚異アクターを認識している。現在、調査を進めている」と述べている。

RansomHouseとは何者か?

RansomHouseは、2021年12月に最初の被害者であるSaskatchewan Liquor and Gaming Authority(SLGA)を流出させ、活動を開始した。この恐喝グループは、攻撃にランサムウェアを使用しないと主張しているが、White Rabbit ランサムウェアのメモを見ると、ランサムウェアグループと連携していることがよくわかる。

White Rabbit ransom note
White Rabbit ransom note

12月以降、RansomHouseはデータ漏洩サイトに、AMD を含5つの被害者を追加した。そのうちの1つは、アフリカ最大のスーパーマーケットチェーンである Shoprite Holdingsで、6月10日にサイバー攻撃を確認した。

RansomHouse というランサムウェア・ギャングですが、このブログでは初登場です。ただし、文中で関連性を示唆されている White Rabbit は、金融系を狙うランサムウェアとして、何度か登場していました。いわゆる大物狙いの攻撃なので、経験を積んでいる White Rabbit が背後にいると思って良さそうです。

%d bloggers like this: