Die Ransomware-Bande Lapsus$ hat sich zu einem Angriff auf Samsung bekannt. Sie behauptet, vertrauliche Daten des südkoreanischen Konzerns entwendet zu haben. Auf ihrem Telegram-Kanal haben die Cyberkriminellen Links zu einem 190 GB grossen Datenpaket sowie Screenshots von angeblich gestohlenen Daten veröffentlicht.

Laut Eigenangaben ist Lapsus$ im Besitz von Quellcode für Galaxy-Geräte. Dieser beinhalte unter anderem Verschlüsselungs- und biometrischen Entsperrfunktionen der Galaxy-Hardware, Bootloader-Quellcode für alle neueren Samsung-Geräte, Knox-Daten (Samsungs Sicherheitstool), vertraulichen Quellcode von Zulieferern wie Qualcomm sowie für Technologie zur Autorisierung und Authentifizierung von Samsung-Konten.

In einer Erklärung gegenüber 'Bloomberg' bestätigte Samsung, nannte aber keine Namen der Angreifer. Es seien Massnahmen ergriffen worden, um weitere Vorfälle zu verhindern. Personenbezogene Daten von Kunden seien nicht betroffen.

"Es gab eine Sicherheitsverletzung in Bezug auf bestimmte interne Unternehmensdaten", so das Statement. "Nach unserer ersten Analyse betrifft die Verletzung einen Quellcode, der sich auf den Betrieb von Galaxy-Geräten bezieht, aber nicht die persönlichen Daten unserer Kunden oder Mitarbeitenden. Derzeit erwarten wir keine Auswirkungen auf unser Geschäft oder unsere Kunden."

Die Bande hatte sich zuvor bereits zu einem Angriff auf den Grafikkartenhersteller Nvidia bekannt und Daten veröffentlicht. Der Konzern bestätigte in der Folge einen Datenabfluss. Laut 'Bleeping Computer' wurden mehr als 71'000 Mitarbeiter-Anmeldeinformationen gestohlen sowie zwei Code-Signatur-Zertifikate, die von Nvidia-Entwicklern verwendet werden, um ihre Treiber und ausführbare Dateien zu signieren.

Nachdem Lapsus$ die Zertifikate geleakt hatte, haben Sicherheitsforscher bereits erste Malware beobachtet, die damit unterzeichnet wurde, um Sicherheitsmechanismen umgehen zu können. Obwohl beide gestohlenen Nvidia-Zertifikate abgelaufen sind, lasse Windows weiterhin zu, dass ein mit den Zertifikaten signierter Treiber in das Betriebssystem geladen wird. Aufgrund des Missbrauchspotenzials hoffen die Forscher, dass die gestohlenen Zertifikate in Zukunft in die Zertifikatssperrliste von Microsoft aufgenommen werden, um zu verhindern, dass bösartige Treiber in Windows geladen werden.