torstai 19. marraskuuta 2020

Vastaamon tietomurto ja Mikko Hyppösen pyyntö

Liittyen Vastaamon tietomurtoon, on F-Securen pomo, eli Mikko Hyppönen päättänyt ottaa nettiväkeen yhteyttä, seuraavalla viestillään:

Hyvää iltaa, täällä Mikko Hyppönen.


Vastaamo-tapauksen tutkinta jatkuu. Minulla olisi pyyntö siihen liittyen:


Kiristäjä "Ransom_man" laittoi aamulla 23.10.2020 epähuomiossa jakoon suurikokoisen vastaamo.tar-tiedoston, joka sisälsi tärkeää todistusaineistoa. Tiedosto sisälsi myös kymmenien tuhansien uhrien potilastietoja, mutta ne eivät ole tutkinnan kannalta kiinnostavia. Sen sijaan muu tar-tiedoston sisällä oleva tieto (esim. lähdekoodit, verkko-osoitteet yms.) voivat johtaa Ransom_manin jäljille.


Tutkinnassa ongelmaksi on muodostunut se, että käytettävissä ei ole tuota koko tiedostoa, ainoastaan osa siitä. Vastaamo.tar oli imuroitavissa Ransom_manin Tor-palvelimelta 23.10.2020 muutaman tunnin ajan (noin klo 03.00-07.30). Tiedoston koko oli 10,92 GB (10 918 912 000 tavua).


Torilaudan keskusteluissa joku kertoi imuroineensa tämän 10,92 GB tiedoston kokonaan. Toinen sanoi imuroineensa siitä 5,64 GB ennen kuin siirto katkesi. Nyt olisi arvokasta saada tämänkaltaiset tiedostot tutkijoiden käyttöön.


Jos sinulla on vastaamo.tar-tiedostosta sellainen kopio jonka koko on useita gigatavuja, ota yhteyttä minuun. Sähköpostiosoitteeni on mikko.hypponen@f-secure.com. Wickr: mikkohypponen. Toimitan tiedoston viranomaisille ja suojaan henkilöllisyytesi. Halutessasi voit poistaa tar-tiedostosta potilastiedot (therapissed/patients-hakemiston).


Kiitos,


Mikko Hyppönen

Niinpä jos on niin, että jos Fundamentin lukijalla on kyseinen, tässä pyydetty paketti, niin sen voinee lähettää tuossa annettuun osoitteeseen. - Ainakaan toistaiseksi missään ei olla kerrottu, että niitä oltaisi vielä hänelle lähetetty.

Allekirjoittanut tosin epäilee, että voisiko kyseinen hakkeri tosiaankin laittaa ainoat myyntivalttinsa levitykseen? Todella outoa jos se niin teki. Sen sijaan tässä voi olla kyseessä tilanne, jossa useampi hakkeri on hyödyntänyt tilannetta, ja tämä "tervapaketti" oli siksi jaossa. No, saapahan ainakin jonkun kiinni. 

Ei kommentteja:

Lähetä kommentti