Bedrohungsakteure, die sich als „Medusa“ ausgeben, haben auf ihrer Leak-Site eine neue Datenbank veröffentlicht und behaupten, diese enthalte Microsoft-Daten, darunter Quellcode von Bing und Cortana.
Die vom Emsisoft-Forscher Brett Callow gefundene Anzeige besagt, dass das Einbetten von Quellcode Antivirenprodukte dazu verleiten könnte, Malware mit von Microsoft erstellten Programmen zu verwechseln.
„Dieses Leck ist für Entwickler von größtem Interesse, da es Quellcode für die folgenden Bing-Produkte, Bing Maps und Cortana, enthält“, heißt es in der Ankündigung. „Das Leck enthält viele digitale Signaturen von Microsoft-Produkten. Viele davon wurden nicht entfernt. Ihre Software wird in Zukunft das gleiche Maß an Vertrauen genießen wie das ursprüngliche Microsoft-Produkt.“
keine Bestätigung
Obwohl die Ankündigung überall Alarm schlägt, hat noch kein Bedrohungsanalytiker die Echtheit der Behauptungen von Medusa bestätigt, sodass die Dateien nach allem, was wir wissen, gefälscht sein könnten.
„Zum jetzigen Zeitpunkt ist nicht klar, ob die Daten das sind, was sie angeblich sind“, sagte Callow von Emsisoft gegenüber The Register. „Es ist auch unklar, ob es eine Verbindung zwischen Medusa und €Lapsus gibt, aber im Nachhinein wirken einige Aspekte ihrer Vorgehensweise ein wenig wie €lapsus.“
Vor einem Jahr gab ein böswilliger Akteur namens Lapsus€ bekannt, dass er in Microsoft-Endpunkte eingedrungen sei (öffnet sich in einem neuen Tab) und etwa 37 GB vertrauliche Daten, einschließlich Bing- und Cortana-Quellcode, gestohlen habe. Kurz darauf bestätigte Microsoft den Verstoß, sagte jedoch, dass „kein Code oder Kundendaten gestohlen wurden“. „Microsoft vertraut nicht auf die Geheimhaltung des Codes als Sicherheitsmaßnahme und die Visualisierung des Quellcodes bringt keine Erhöhung des Risikos mit sich“, erklärte der Redmonder Riese damals.
Callow könnte also suggerieren, dass die Angreifer nur das wiederenthüllen, was bereits vor einem Jahr gestohlen wurde.
Medusa ist ein Ransomware-Betreiber, der berühmt wurde, nachdem er in den Minneapolis Public School District (MPS) eingebrochen war und 1 Million Euro im Austausch für den Entschlüsselungsschlüssel verlangte. Da die MPS-Daten bald darauf im Dark Web durchgesickert sind, kann man davon ausgehen, dass die Verhandlungen gescheitert sind.
Über: Die Registrierung (Öffnet in einem neuen Tab)