Ransomware is de grootste cyberdreiging in de wereldwijde technologie geworden. De laatst bekende is Gigabyte Technology, een in Taiwan gevestigde hardwarefabrikant die u misschien kent van zijn moederborden, grafische kaarten, notebooks of monitoren.
De ransomware-aanval op Gigabyte is bevestigd aan: Chinese media. Het tastte een deel van zijn servers aan en activeerde het informatiebeveiligingssysteem in samenwerking met technische experts van externe bedrijven en contact met overheidsinstanties. De aanval vond vorige week plaats en momenteel zijn alle getroffen interne diensten hervat. Productie, verkoop en dagelijkse activiteiten zijn niet beïnvloed, zegt het bedrijf.
Hoewel er geen officiële informatie beschikbaar is over het type cyberaanval, zegt Bleeping Computer dat het afgelopen dinsdag is gebeurd en verschillende van zijn diensten heeft beïnvloed, waaronder gebruikersondersteuning en andere doordat sommige systemen moesten worden afgesloten om het te beheersen.
Volgens de media zit RansomEXX achter de aanval. Oorspronkelijk bekend als ‘Defray’, is het een groep die goed bekend is in computerbeveiligingsomgevingen voor het introduceren van ransomware via kwetsbaarheden in remote desktop-protocollen, exploits of gestolen inloggegevens.
De groep handelt op een typische ransomware-manier. Het infiltreert servers, kaapt bestanden met behulp van sterke encryptie om toegang door de eigenaar te voorkomen, en eist een ‘losgeld’ om ze vrij te geven. Zodra ze toegang hebben gekregen tot het netwerk, verzamelen ze meer inloggegevens naarmate ze meer ruimte krijgen op de Windows-domeincontroller. Tijdens deze zijwaartse verspreiding via het netwerk, steelt de bende gegevens van niet-versleutelde apparaten die worden gebruikt als hefboom voor de afpersing.
In dit geval beweren de cybercriminelen in het bezit te zijn van 112 GB aan data gestolen van servers. En het kan niet alleen Gigabyte raken, er is sprake van vertrouwelijke documenten van Intel, AMD en American Megatrends. In zo’n verbonden wereld waar bedrijven met elkaar moeten samenwerken, komen ook indirecte slachtoffers veelvuldig voor bij dit soort aanvallen. Bij het Quanta Computer-incident beweerden de aanvallers blauwdrukken van Apple- en Lenovo-apparatuur te hebben verkregen.
De ransomware-aanval op Gigabyte is nog een van de tientallen grote bedrijven die getroffen zijn. En dit zijn nog maar de bekende, want er zijn er nog veel meer die het grote publiek niet bereiken. Aziatische fabrikanten staan in de schijnwerpers. Naast het ernstige incident met Quanta werden eind vorig jaar de contractnotebookfabrikant Compal, de industriële computerfabrikant Advantech en later het gigantische conglomeraat Hon Hai en de pc-fabrikant Acer aangevallen. Volgens onderzoek van internetbeveiligingsprovider Check Point registreert Taiwan gemiddeld meer dan 2500 cyberaanvallen per week.
En niet alleen Azië. Een ransomware-aanval op het bedrijf Kaseya vorige maand verlamde de netwerken van ten minste 200 Amerikaanse bedrijven en anderen (mogelijk zijn er 1.000 getroffen) internationaal. De Russische groep REvil zit achter een aanval die cyberbeveiligingsbedrijven ‘kolossaal’ noemden en een ander teken van het gevaar van ransomware.