Thought Leadership
Nach der Berichterstattung bei BleepingComputer scheint die Ransomware-Gruppe Money Message den taiwanesischen PC-Komponenten Hersteller MSI kompromittiert zu haben. Die Gruppe fordert nun vier Millionen US-Dollar für die entwendeten Daten. Laut Informationen des Cyble Research and Intelligence Labs (CRIL) wendet sie eine doppelte Erpressungstechnik an, um ihre Opfer zu erpressen. Dabei werden die Daten des Opfers zunächst exfiltriert und dann verschlüsselt.
Wenn das Lösegeld nicht bezahlt wird, lädt die Gruppe die Daten auf ihre Leak-Site hoch. Money Message wurde erstmals im März 2023 beobachtet und hat bereits mehr als fünf öffentlich bekannt gegebene Opfer betroffen, von denen die meisten aus den Vereinigten Staaten stammen. Die Opfer gehören verschiedenen Branchen an, darunter BFSI, Transport und Logistik sowie Professional Services.
Wenn diese Behauptungen wahr sind, könnte dieser Diebstahl schwerwiegende Folgen für MSI haben. Durch den Diebstahl des Quellcodes aus dem Netz des Unternehmens kann eine Gruppe diesen modifizieren und ihre eigenen Variationen erstellen, die schließlich die Grundlage für die Entwicklung einer eigenen Ransomware-Variante bilden und den Grundstein für zukünftige Angriffe legen.
Das größte Problem ist jedoch der potenzielle Diebstahl privater Schlüssel und die Offenlegung von Maschinenidentitäten. Private Schlüssel werden verwendet, um die Verschlüsselung zu ermöglichen, die die Maschinenidentitäten schützt und die Kommunikation zwischen den Maschinen authentifiziert und sichert. Bei den gestohlenen Schlüsseln könnte es sich um Codesignaturen von TLS-Maschinenidentitäten handeln. Sollte dies der Fall sein, könnte sich der bösartige Code von Money Message als vertrauenswürdiger Code von MSI ausgeben, was weiteren Angriffen Tür und Tor öffnen würde.
Wenn sich herausstellt, dass diese Schlüssel kompromittiert sind, muss MSI schnell handeln, um herauszufinden, welche Systeme betroffen sind, und die betroffenen Schlüssel austauschen. Ein zentrales Verwaltungstool wie ein „Control Plane“ kann dabei eine wichtige Rolle spielen, indem sie hilft, den Lebenszyklus aller Maschinenidentitäten in einem Netzwerk zu verwalten und einen Einblick in bestehende Identitäten zu geben.
