กลุ่ม Ransomware ที่มีชื่อว่า “Money Message” ้เรียกค่าไถ่จาก MSI ว่าภายใน 1 สัปดาห์ให้บริษัทติดต่อมาพร้อมเงิน 4 ล้านดอลลาร์ (~1.34 ร้อยล้านบาท) ไม่เช่นนั้นข้อมูลถูกปล่อยลง Dark Web!
MSI ประสบกับการละเมิดข้อมูลครั้งใหญ่เมื่อต้นเดือนเมษายน และบริษัทอิเล็กทรอนิกส์ของไต้หวันได้แจ้งเตือนลูกค้าทันที เกี่ยวกับการโจมตีทางไซเบอร์ใน “Information systems” ไม่กี่วันต่อมาปรากฏว่ากลุ่ม Ransomware ที่มีชื่อว่า “Money Message” ได้ระบุว่าหาก MSI ไม่ติดต่อมาจ่ายค่าไถ่ 4 ล้านดอลลาร์แก่พวกเขาจะทำการปล่อยข้อมูลของ MSI ลง Dark Web
จนกระทั่งผ่านไป 1 สัปดาห์ Money Message อ้างว่า MSI ปฏิเสธที่จะตอบสนองความต้องการของพวกเขา ด้วยเหตุนี้การอัปโหลดข้อมูลที่ถูกขโมยจึงเริ่มขึ้นในวันพฤหัสบดีที่ผ่านมา โดยมีไฟล์ปรากฏบนเว็บไซต์ของกลุ่มและแพร่กระจายไปยังเว็บมืดหลังจากนั้นไม่นาน
ทางบริษัท Binarly ด้านความปลอดภัยทางไซเบอร์ได้วิเคราะห์ไฟล์ที่รั่วไหลและค้นพบว่ามีคีย์การเซ็นชื่อรหัสส่วนตัวจำนวนมากภายในการถ่ายโอนข้อมูลที่ถูกละเมิด Alex Matrosov ซีอีโอของ Binarly กล่าวผ่าน Twitter ว่า MSI USA ประกาศการละเมิดข้อมูลที่สำคัญ ขณะนี้ข้อมูลดังกล่าวได้รับการเผยแพร่สู่สาธารณะเรียบร้อยแล้ว โดยมีการเผยให้เห็นคีย์ส่วนตัวจำนวนมากที่อาจส่งผลกระทบต่ออุปกรณ์ FW Image Signing Keys จำนวน 57 ผลิตภัณฑ์และคีย์ Intel Boot Guard BPM/KM จำนวน 166 ผลิตภัณฑ์ สามารถเข้าไปเช็ครายชื่อที่ได้ที่ Githup.com
ในการรั่วไหลครั้งนี้ส่งผลให้ข้อมูลที่ได้ไปเป็นอันตรายต่อลูกค้าของ MSI โดยอาชญากรไซเบอร์สามารถสร้างและลงนามมัลแวร์ที่ปลอมตัวเป็นซอฟต์แวร์ที่เกี่ยวข้องกับ MSI รวมถึงเฟิร์มแวร์ปลอมและที่เป็นอันตราย Matrosov อ้างว่าการโจมตีที่เน้นลูกค้าสามารถส่ง เพย์โหลดขั้นที่สอง (second stage payload) ผ่านการฟิชชิ่ง (phishing) เช่น อีเมลหรือเว็บไซต์ ซึ่งเป็นไปได้ที่ซอฟต์แวร์ป้องกันไวรัสจะไม่ตรวจพบเพราะมีการใช้คีย์การลงนามอย่างเป็นทางการของ MSI
นอกจากนี้ Binarly ยังพบว่าเครื่องมือรักษาความปลอดภัยฮาร์ดแวร์ของ Intel อาจถูกโจมตีด้วยเช่นกัน เนื่องจากตรวจพบคีย์ Intel Boot Guard ที่รั่วไหลมาจาก MSI เช่นกัน ส่งผลกระทบต่อผู้จำหน่ายอุปกรณ์หลายราย รวมถึง Intel, Lenovo, Supermicro SMCI และอื่น ๆ อีกมากมายทั่วทั้งอุตสาหกรรม
ที่ร้ายแรงกว่านั้น Mark Ermolov นักวิจัยอิสระของระบบความปลอดภัยของ Intel ยังได้โต้แย้งการค้นพบของเขาเมื่อวานนี้ว่า “ดูเหมือนว่าการรั่วไหลนี้ไม่ได้ส่งผลกระทบต่อเทคโนโลยี Intel Boot Guard เท่านั้น แต่รวมถึงกลไกการลงนาม OEM ทั้งหมดใน CSME เช่น การปลดล็อก OEM (Orange Unlock) เฟิร์มแวร์ ISH, SMIP และอื่นๆ อีกด้วย”
ที่มา: Githup, TechPowerUp
