Origineel bericht (09-04):
MSI is slachtoffer geworden van een ransomware-aanval. Hackergroep Money Message beweert 1,5 TB aan broncode en databases te hebben gegijzeld, en eist 4 miljoen dollar.
Onder de code zou onder andere het framework zitten waar MSI’s bios op draait, en de sleutels om een nieuwe bios-update te signeren. De groep zou daarmee eigen bios-software, voorzien van malware, kunnen verspreiden, en die zou net zo ‘echt’ overkomen als MSI’s eigen updates.
Screenshot van de Tor-site van Money Message (door BleepingComputer).
MSI laat weten dat de getroffen systemen weer normaal werken, en dat de aanval gemeld is bij overheidsinstanties. De fabrikant dringt gebruikers erop aan alleen bios-updates van de officiële MSI-website te downloaden.
De aanval zou “geen significante financiële impact” hebben veroorzaakt, wat klinkt alsof er geen losgeld is betaald. Of dat betekent dat we straks allemaal een eigen bios voor MSI-moederborden kunnen schrijven moet nog blijken.
Update (07-05):
MSI heeft niet betaald, dus de hackers hebben doorgezet. Alle gestolen data staat online, en zo te zien gaat het niet alleen om code van MSI.
Beveilingsbedrijf Binarly is alles aan het doorzoeken, en kwam onder andere sleutels voor Intels opstartbeveiliging BootGuard tegen. Daarmee zijn leveranciers als Lenovo, Supermicro en natuurlijk Intel zelf ook meteen slachtoffer.
Tweet van Binarly.
Tweet van Binarly-oprichter Alex Matrosov.
Binarly houdt een lijst bij met MSI-laptops die kwetsbaar zijn voor onveilige bios-updates. Op het moment van schrijven gaat het om 173 verschillende modellen. Op de website fwhunt.run kan gedownloade MSI- en Intel-firmware gescand worden op kwetsbaarheden.
Al met al lijkt de ransomware-aanval heel wat meer impact te hebben dan gedacht. Wat Binarly allemaal nog meer gaat tegenkomen, en of Intel nog iets kan doen om de schade te beperken, is nog even afwachten.
Bronnen: MSI, BleepingComputer, Twitter (1), (2)
