Apple Doelwit van Ransomware-aanval op Quanta | Hackers Eisen $50m
Ransomware-aanvallen zijn toegenomen sinds de pandemie begon in december 2019. In feite tonen verschillende rapporten aan dat tegen het einde van 2020, ransomware-aanvallen met minstens 150% zijn gegroeid, en het gemiddelde gevraagde losgeld verdubbelde naar ongeveer $170000. Kwaadwillenden richten zich meestal op bedrijven met hoge inkomsten vanwege de potentie voor een grote uitbetaling. Het is ook een trend geworden om grote technologiefabrikanten te targeten.
Bijvoorbeeld, in november 2020, werd Foxconn het doelwit van een ransomware-aanval waarbij de verantwoordelijke hackers terabytes aan back-upgegevens verwijderden van meer dan duizend versleutelde servers. De aanvallers vroegen om $34 miljoen voordat ze de versleutelde gegevens zouden vrijgeven. Ter informatie, Foxconn is de grootste fabrikant van elektronica-apparatuur voor bedrijven zoals Amazon, Sony, Microsoft en Apple. Eerder die maand richtten hackers zich op een andere fabrikant (Compal) met een ransomware-aanval.
Dit laat zien dat grote technologieproductiebedrijven nu het risico lopen op meer geavanceerde ransomware-aanvallen. De meest recente aanval vond plaats enkele dagen voor het einde van april 2021. Quanta, een in Taiwan gevestigd bedrijf dat laptops produceert voor grote technologiebedrijven, waaronder Apple, werd getroffen door een ransomware-aanval die Apple mogelijk $50 miljoen kan kosten.
Wat is Ransomware?
Ransomware is een vorm van malware (kwaadaardige software) die toegang krijgt tot een computer en bestanden of systemen target door ze te versleutelen en ontoegankelijk te maken in een poging om het bedrijf of de eigenaar te laten betalen voor hun vrijlating. Van het woord “losgeld” is het gemakkelijk te begrijpen wat het uiteindelijke doel is van alle ransomware-aanvallen – om het slachtoffer een losgeld te laten betalen in ruil voor de vrijlating van de gegijzelde bestand(en) of syste(e)m(en). Zodra het slachtoffer betaalt, geven de aanvallers een decryptiesleutel vrij die het slachtoffer gebruikt om de versleutelde bestand(en) of syste(e)m(en) te ontsleutelen.
De eerste vorm van een ransomware-aanval vond al plaats in 1989. Sindsdien hebben kwaadwillende entiteiten de vooruitgang in technologie gebruikt om meer geavanceerde aanvallen uit te voeren. De evolutie van ransomware heeft ertoe geleid dat slechte actoren diensten zoals Ransomware-as-a-Service (RaaS) aanbieden om hun netwerk en mogelijkheden uit te breiden. Mobiele ransomware-aanvallen worden ook steeds meer een ding, en met het tempo waarin het gebruik van Internet of Things-technologie zich uitbreidt, zullen we ongetwijfeld nieuwe aanvallen zien.
REvil Hackergroep Richt Zich op Apple via Quanta
Op 20 april 2021, terwijl Apple zijn nieuwste gadgets onthulde tijdens het Spring Loaded evenement, werd een van de grootste laptopfabrikanten ter wereld getroffen door een ransomware-aanval uitgevoerd door een Russische hackersgroep bekend als REvil. Quanta produceert MacBooks voor Apple, naast andere producten. REvil, ook bekend als Sodinokibi, toonde bewijs van zijn succesvolle aanval door de schema’s van Apple’s nieuwste producten te posten, inclusief de al uitgebrachte 2020 M1 MacBook Air en de nieuwe iMac ontwerpen.
Een paar dagen voor de datalekken hintte een gebruiker met de gebruikersnaam UNKN op XSS (een populair cybercrimeforum) dat er een grote aankondiging aan zat te komen, waarbij hij hackers aanspoorde om zich bij de groep aan te sluiten. We geloven dat deze gebruiker de REvil ransomwaregroep vertegenwoordigt, belast met het aankondigen van dergelijk nieuws en het werven van nieuwe affiliates voor zijn ransomware-as-a-service programma.
Quanta heeft erkend dat de aanval heeft plaatsgevonden. Het bedrijf zei ook dat zijn beveiligingsteam reageert op de aanval, maar dat er geen significante impact is op de bedrijfsvoering. In de verklaring van het bedrijf zei Quanta: “We hebben melding gemaakt van en naadloze communicatie onderhouden met de relevante wetshandhavings- en gegevensbeschermingsautoriteiten betreffende recent waargenomen abnormale activiteiten. Er is geen materiële impact op de bedrijfsvoering van het bedrijf.” Sindsdien heeft het zijn cybersecurityinfrastructuur geüpgraded om te voorkomen dat dit nog eens gebeurt.
Deze aanvallers eisten een bedrag van $50 miljoen in ruil voor de afbeeldingen, maar Quanta heeft geweigerd te betalen, waardoor ze genoodzaakt waren contact op te nemen met het meest waardevolle bedrijf ter wereld. Het is de reden waarom de REvil-groep ongeveer 21 afbeeldingen van MacBook-schema’s heeft vrijgegeven op dezelfde dag als het Spring Loaded-evenement van Apple; een verklaring die waarschijnlijk niet onopgemerkt zal blijven.
Het heeft ook gedreigd om elke dag nieuwe gegevens vrij te geven totdat Apple het losgeld betaalt en heeft een ultimatum gesteld voor 1 mei. REvil onthulde al deze informatie via zijn “Happy Blog”, een site die het gebruikt om zijn hackactiviteiten openbaar te delen. Apple heeft geen verklaringen afgegeven met betrekking tot de aanval en heeft geen enkele indicatie gegeven dat het het losgeld zal betalen.
Een Geschiedenis van de REvil Hackersgroep en Hun Exploits
Sodinokibi, beter bekend als REvil, heeft een reputatie opgebouwd met zijn ransomware-aanvallen. Mensen in de informatiebeveiligingssector geloven dat deze groep Russisch is vanwege hun terughoudendheid om Russische of staatsbedrijven aan te vallen. Ze geloven ook dat het een afsplitsing is van een eerdere kwaadaardige groep–GandCrab. GandCrab was net zo productief als REvil nu is, en verzamelde ongeveer $2 miljard aan losgeld in bijna twee jaar. Rond dezelfde tijd dat GandCrab zijn operaties stopte, begon REvil prominent te worden.
In tegenstelling tot de meeste hackersgroepen, hanteert REvil een ander model waarmee het meer geld kan verdienen. Het gebruikt een Ransomware-as-a-Service (RaaS) model waarbij het malware in licentie geeft aan affiliates die het vertrouwt. Vervolgens neemt het een percentage van het losgeld als affiliates met succes een aanval uitvoeren. REvil gebruikt ook wat bekend staat als een dubbele afpersingsmethode om de kans te vergroten dat zijn slachtoffers het losgeld betalen. Dit betekent dat na het versleutelen van gegevens, REvil ook overdraagt wat het kan naar zijn servers met een dreiging om het te verkopen.
Als een bedrijf back-ups heeft, moet het misschien toch losgeld betalen als de kwaadwillende groep gevoelige informatie naar zijn servers heeft overgebracht. Er is ook de mogelijkheid om een DDoS-aanval op hetzelfde slachtoffer te gebruiken om de druk te verhogen en hen te dwingen het losgeld te betalen. Men begint zich af te vragen waarom deze groep alles doet wat ze kan om fondsen te werven. Is het om meer lucratieve aanvallen te financieren of gewoon ouderwetse hebzucht?
Laten we nu eens kijken naar enkele van de wijdverspreide aanvallen die deze groep in het verleden heeft uitgevoerd.
1. Lokale Overheden in Texas
In de vroege uren van 16 augustus 2019, viel REvil 23 lokale overheidsinstanties in Texas aan en eiste een losgeld van $2,5 miljoen. Mensen die bij deze instanties werkten, hadden geen toegang tot bestanden waartoe ze gewoonlijk wel toegang hadden. Het was een gecoördineerde aanval van REvil die de systemen en websites van de instanties uitschakelde. Gelukkig viel REvil hun back-upsystemen niet aan, dus gaven ze niet toe aan de eisen. Na coördinatie met verschillende cybersecurityteams konden deze instanties de toegang tot bestanden en systemen die de REvil-groep gegijzeld hield, herstellen.
2. Travelex
Travelex is een bedrijf dat zich bezighoudt met het wisselen van buitenlandse valuta over de hele wereld. Het is erg populair op luchthavens omdat het het proces van het wisselen van je lokale valuta naar een andere valuta vergemakkelijkt. Op 31 december 2019, kreeg REvil toegang tot het netwerk van Travelex. Dit gebeurde omdat Travelex een verouderde VPN gebruikte en de REvil-groep profiteerde van de kwetsbaarheden in de niet-gepatchte software. Na het infiltreren van hun netwerk, verspreidde REvil ransomware die het hele netwerk van Travelex uitschakelde, waarbij een losgeld van $2,3 miljoen werd geëist.
Travelex heeft niet bekendgemaakt dat ze het slachtoffer waren van een ransomware-aanval. In plaats daarvan zeiden ze dat hun systemen onderhoud ondergingen. Vervolgens betaalden ze in het geheim het losgeld en herstelden ze de toegang tot hun netwerk en systemen. Helaas voor hen kwam de waarheid in de krantenkoppen terecht, en verloren ze het vertrouwen van het publiek. Het is één ding om het slachtoffer te zijn van een aanval vanwege verschrikkelijke beveiligingsbeleid, maar om tegen je klanten en het publiek daarover te liegen is een ernstige misstap. Tot op dit moment ondervindt Travelex nog steeds de gevolgen van zijn acties.
3. Grubman Shire Meiselas & Sacks
In mei 2020 kreeg REvil toegang tot meer dan 750 GB aan privé juridische documenten. Grubman Shire Meiselas en Sacks is een advocatenkantoor dat verschillende beroemdheden vertegenwoordigt, waaronder voormalig Amerikaans president Donald Trump. REvil stelde aanvankelijk een losgeld van $21 miljoen vast, maar verhoogde het bedrag nadat ze Trumps gegevens zagen. Het advocatenkantoor volgde het advies van de FBI om niet te betalen, en REvil veilde de gegevens op het Dark Web.
Conclusie
De toenemende aanvallen op bedrijven die hardware produceren voor toonaangevende technologiebedrijven zouden zorgwekkend moeten zijn. Het is duidelijk dat deze bedrijven worden getarget vanwege hun banden met giganten in de technologie-industrie. Aanvallen zoals deze herinneren ons eraan dat bedrijven cybersecurity zo serieus mogelijk moeten nemen, omdat de kosten voor het opzetten van een goede verdediging tegen aanvallen meestal lager zijn dan de kosten voor het herstellen van activa.