18 ene. 2021

SolarLeaks: delincuentes dicen vender datos robados a SolarWinds

Un sitio web llamado 'SolarLeaks' está vendiendo datos que, según afirman, fueron robados de empresas que se confirmó que fueron violadas en el ataque SolarWinds. Según una declaración conjunta emitida por el FBI, CISA y la NSA, este ataque fue "probablemente" realizado por un grupo de delincuentes informáticos patrocinados por el estado ruso.

Hoy, se lanzó un sitio web de solarleaks[.]net que afirma vender los datos robados de Microsoft, Cisco, FireEye y SolarWinds. Se sabe que todas estas empresas fueron atacadas con éxito durante el ataque a la cadena de suministro. El sitio web afirma estar vendiendo códigos fuente y repositorios de Microsoft por 600.000 dólares. Microsoft confirmó que los actores de amenazas accedieron a (parte) de su código fuente durante su violación de SolarWinds.

[Microsoft Windows (partial) source code and various Microsoft repositories]
price: 600,000 USD
data: msft.tgz.enc (2.6G)

Los actores de amenazas también afirman estar vendiendo el código fuente de múltiples productos de Cisco y, lo que es aún más preocupante, el rastreador de errores interno de la compañía.

[Código fuente de varios productos de Cisco + volcado interno del rastreador de errores]
precio: 500,000 USD
datos: csco.tgz.enc (1.7G)

En un aviso actualizado hoy, Cisco afirma que conocen el sitio de SolarLeaks y que no hay evidencia de que los atacantes hayan robado su código fuente.

El sitio web también afirma estar vendiendo las herramientas privadas del Red Team, y el código fuente de FireEye por U$S 50.000. La empresa fue la primera en revelar que sus herramientas fueron robadas durante su ataque.

[Herramientas de redteam privadas de FireEye, código fuente, binarios y documentación]
precio: 50,000 USD
datos: feye.tgz.enc (39M)

Por último, el sitio web vende el código fuente de SolarWinds y un volcado del portal del cliente por 250.000 dólares.

[Código fuente de los productos SolarWinds (todos incluidos Orion) + volcado del portal del cliente]
precio: 250,000 USD
datos: swi.tgz.enc (612M)

Por U$S 1 millón, el sitio web dice que obtienes todos los datos filtrados.

Con un estilo similar al de los Shadow Brokers, los actores de SolarLeaks afirman que venderán los datos robados en lotes y que se publicarán más en una fecha posterior.

El dominio solarleaks[.]net tiene un día de antiguedad, está registrado a través de NJALLA, un conocido registrador utilizado por los grupos de hacking rusos Fancy Bear y Cozy Bear. Esto solo muestra que las personas detrás de este sitio web tienen al menos un poco de conocimiento sobre el modus operandi ruso. Al mirar el registro de WHOIS, se observa la siguiente declaración: "No se puede obtener información".

No se ha confirmado si este sitio es legítimo y si los propietarios del sitio tienen los datos que están vendiendo.

El presidente de Rendition Infosec, Jake Williams, afirma que la venta que se inclina hacia datos comercialmente valiosos, en lugar de inteligencia robada de agencias gubernamentales, podría indicar que este es un grupo real.

El 13 de enero, el reportero de Motherboard Vice Lorenzo Franceschi-Bicchierai recibió un correo electrónico que decía ser de los actores de SolarLeaks. Cuando se les pidió que proporcionaran una muestra de los datos presuntamente robados, los actores de la amenaza se negaron a ofrecer ninguna prueba, ya que no es "así de simple".

Más tarde ese día, el sitio de SolarLeaks se actualizó para incluir un nuevo mensaje que indica que ProtonMail cerró su correo electrónico y que los compradores que quieran ver una muestra de los datos deben enviar 100 XMR, o aproximadamente U$S16.000, a una dirección de Monero que figure en la lista.

Si bien muchos todavía consideran que el sitio es una estafa, Microsoft extrañamente ha comenzado a detectar el archivo cifrado que supuestamente contiene su código fuente como HackTool: Win32 / Solardump.A y HackTool: Win32/Solardump.B. Entonces, el hecho de que Windows Defender ahora esté eliminando msft.tgz.enc, ¿podemos considerarlo como que Microsoft está verificando que sea legítimo?

Para empeorar las cosas, se ha creado un sitio de imitación en solarLeak[.]net (sin la "s" final) con el mismo contenido del sitio web, pero con una dirección de Monero diferente.

Fuente: BC

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!