Ransomware: Hacker erbeuten Bios-Code und -Werkzeuge von MSI

Der Hardware-Hersteller MSI, der vor allem für seine Mainboards, GPUs und Laptops bekannt ist, warnt seine Kunden eindringlich davor, Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen. Hintergrund der Warnung ist offenbar der Angriff einer Ransomware-Gang auf das Unternehmen, wobei die Angreifer zahlreiche Interna erbeuten konnten.

MSI selbst gibt auch mehrere Tage nach dem Angriff keine weiteren Details zu Umfang und möglichen Auswirkungen bekannt. Allerdings haben die Angreifer, bei denen es sich um die Gruppe Money Message handeln soll, Screenshots der erbeuteten Datenbanken veröffentlicht und behaupten außerdem, Zugriff auf Quellcode, Frameworks zum Erstellen des Bios sowie private Schlüssel für Signaturen zu haben. Das berichtet etwa Bleeping Computer.

Die Angreifer oder auch Dritte könnten demzufolge Bios- und Firmware-Dateien mit Malware verteilen. Zwar ist es prinzipiell nicht zu empfehlen, Firmware von anderen als dem offiziellen Hersteller einzuspielen. In einigen Foren werden dennoch immer wieder speziell angepasste Firmware-Dateien insbesondere für GPUs verteilt, die etwa die Leistung verbessern sollen. Durch die Möglichkeit zum Signieren, könnten diese zudem wie Original-Firmware wirken.

Zusätzlich zu dieser unmittelbaren Gefahr erscheint es außerdem möglich, dass der Zugriff auf den Quellcode dazu führt, dass Bugs in der Firmware gefunden werden, die künftig für weitere Angriffen ausgenutzt werden könnten. In diesem Fall hilft es Nutzern auch nicht, sich darauf zu verlassen, dass es sich bei ihrer verwendeten Firmware um die Original-Firmware des Herstellers handelt, sofern noch nicht behobenen Fehler ausgenutzt werden.