La supuesta violación de datos de Sony se volvió aún más complicada. El lunes, el relativamente nuevo grupo de hackers Ransomed.vc hizo la altiva afirmación de que había comprometido con éxito «todos» los sistemas de la empresa, según informó Conexión de ciberseguridad. Ahora, un segundo actor de amenazas ha filtrado los datos que se cree que están en posesión de Ransomed.vc, afirmando que los primeros son «estafadores» que intentan «perseguir influencia». Se desconoce cómo cualquiera de los grupos obtuvo estos datos o el alcance de la violación, pero Sony ha confirmado a Engadget que está investigando la situación.
Ransomed.vc dijo que no rescataría a Sony y que en su lugar vendería los datos «debido a que Sony no quiere pagar». Publicó una muestra de archivos como «prueba» de sus afirmaciones. Ransomed.vc fijó como fecha límite el 28 de septiembre. El martes, un actor de amenazas bajo el nombre «MajorNelson» afirmó que Ransomed.vc mintió sobre la violación y filtró los datos que Ransomed.vc afirmaba tener. según el repositorio de malware vx-underground. Engadget no pudo verificar las afirmaciones de forma independiente.
«Actualmente estamos investigando la situación», dijo un portavoz de Sony a Engadget.
Ransomed.vc surgió como atacantes y una organización de ransomware como servicio que permitía a otros pagar para lanzar ataques. El grupo amenaza a las víctimas con multas por protección de datos en virtud de leyes como el RGPD si no pagan el rescate. En otras palabras, páganos un rescate de unos cientos de miles de dólares o te denunciaremos y pagarás una multa de un millón de dólares. MajorNelson parece ser un actor de amenazas independiente motivado por un desdén por Ransomed.vc, y califica los informes sobre sus esfuerzos como mentiras.
«Los RansomedVC son estafadores que simplemente intentan estafarte y perseguir influencia», escribió MajorNelson. «Disfruta la fuga». Según MajorNelson, la filtración incluye credenciales para sistemas internos, políticas de respuesta a incidentes y más.
En 2011, un actor de amenazas expuso información de identificación personal de 77 millones de cuentas de PlayStation Network. Sony desconectó la red durante 23 días para mitigar el daño y, en 2019, acordó pagar una multa de 250.000 libras esterlinas en el Reino Unido por no prepararse adecuadamente para el ataque.