image

Bedrijf klaagt ransomwaremakers aan voor publicatie gestolen data

vrijdag 3 januari 2020, 10:09 door Redactie, 7 reacties

De Amerikaanse kabelfabrikant Southwire heeft de makers van de Maze-ransomware aangeklaagd voor het publiceren van gestolen data. Systemen van Southwire werden op 9 december door ransomware getroffen, waarop de kabelfabrikant besloot om alle systemen offline te halen. Sindsdien is de website van het bedrijf niet meer bereikbaar en zag het zich genoodzaakt om via een nieuwe website met klanten te communiceren.

De aanvallers eisten 6 miljoen dollar voor het ontsleutelen van de versleutelde bestanden. Ze hadden de gegevens niet alleen versleuteld, maar ook gestolen. Als Southwire het losgeld niet zou betalen dreigden de aanvallers de gegevens openbaar te maken. Het zou in totaal om 120GB aan data gaan, afkomstig van 878 versleutelde computers. Southwire besloot het losgeld echter niet te betalen, waarop verschillende bedrijfsdocumenten op een publiek toegankelijke website van de ransomwaremakers verschenen, zo meldt Bleeping Computer.

Op 31 december spande de kabelfabrikant een rechtszaak tegen de ransomwaremakers aan. Southwire is bang dat de aanvallers de komende tijd nog meer documenten zullen publiceren. Daarnaast heeft het bedrijf om een voorlopige voorziening tegen een Ierse hostingprovider gevraagd die de website van ransomwaremakers host. Southwire stelt dat het de hostingprovider herhaaldelijk had gevraagd om de gestolen data offline te halen, maar hierop geen reactie kreeg, aldus de Irish Examiner. Inmiddels is de betreffende website offline gehaald.

Image

Reacties (7)
03-01-2020, 10:12 door Anoniem
Welk nut heeft dit als de makers onbekend zijn? Is het nuttig in de zin dat je dan elders een stok hebt om bijvoorbeeld geplaatste data offline te (laten) halen?
03-01-2020, 10:42 door Anoniem
Door Anoniem: Welk nut heeft dit als de makers onbekend zijn? Is het nuttig in de zin dat je dan elders een stok hebt om bijvoorbeeld geplaatste data offline te (laten) halen?

Dit biedt politie de mogelijkheid om in Ierland informatie bij de hoster op te vragen. En met die informatie nog verder onderzoek te doen. Zeker bij grote ransomware organisaties willen de verschillende landen nogal eens goed gaan samenwerken. Ze worden allemaal getroffen.

Peter
03-01-2020, 11:09 door Anoniem
@10:12 Die stok heb je sowieso. Ik denk dat dit meer een schot vooruit is in de hoop dat ze eens uitvinden wie de dader is.
03-01-2020, 11:11 door Anoniem
Ergens moet men beginnen bij de ransomware-hoster dus. Niet op de Seychellen bij de anonimiseringsdienstverlener/ scam protector. Website is nu neergehaald, maar men weet niet wie erachter zitten. Kan wellicht de malcreanten nog gaan opbreken. Je moet beginnen bij anticiperen bij de nieuwe registraties.

Je moet ergens beginnen bij de script kiddies, die later uitgroeien tot zulke cyber-misdadigers. Voedt ze op in de schoolbanken en op de Hoge School.

Eye-opener https://intelx.io/ van de bekende Peter Kleissner. Als iemand je kan instrueren over "sinkholing" is het wel deze expert. Sinkholen en bannen en nazitten tot het einde van het Internet, a.u.b. Zoek de gelegenheidgevers.

Toch iets in mij zegt men, dat ik er niet zo'n vertrouwen in moet hebben. Ga de hosting van veel websites maar eens onderzoeken. Shodannetje hier, dazzlepodje daar en eens kijken wat er allemaal aan kwetsbaarheden daar aanwezig is.

Kijk eens naar de gemiddelde Magenta webshop bijvoorbeeld via een magereport scannetje. Vaak om je rot te schrikken. Wat is er allemaal vergeten te patchen? Waar is het, daar er als het ware gevraagd wordt om kwaadaardige javascript injectie? Gaat men hier geen actie opnemen en laat men het nog verder verloederen a la PHP gebaseerd CMS als Word Press met user enumeration op enabled & directory listing op enabled en niet geupdate plug-ins, dan vraagt men om zulke ontwikkelingen. Wie let op af te voeren bibliotheken, wie test de CSP policies en de javascript errors?

Zo lang men security blijft zien als een "last resort item" en sluitpost op de begroting (zeker door de stakeholders),
wordt het alleen nog maar erger. Getuige het gebeuren rond de uni van Maatricht. Men zal op meerder vlakken moeten inzetten op veiligheidsverbeteringen. Nu is het allemaal "too little, too late" Men komt niet eens toe aan het dempen van de vele putten, terwijl het kalf al meerdere malen aan het verdrinken is. Interwebz, hoe lang nog?

J.O.
03-01-2020, 11:31 door MathFox
Door Anoniem: Welk nut heeft dit als de makers onbekend zijn? Is het nuttig in de zin dat je dan elders een stok hebt om bijvoorbeeld geplaatste data offline te (laten) halen?
Er zijn verschillen tussen Nederlands en Amerikaans recht waar het gaat om het krijgen van een "voorlopige voorziening" en de mogelijkheid om die af te dwingen tegen "derde partijen".

In de praktijk geldt dat als een rechter vastgesteld heeft dat publicatie van bepaalde documenten een "onrechtmatige daad" is, de beheerder van een website deze heel snel van de website verwijdert of dat de hoster van een onwillige beheerder de website verwijdert; dit doen ze "vrijwillig" ("Na het materiaal bekeken te hebben blijkt het niet binnen de gebruiksvoorwaarden van de site te passen..."). Het is lastiger om Europese vonnissen op dit gebied in de VS uitgevoerd te krijgen, omdat ze in de VS meer waarde aan persvrijheid hechten. Een Amerikaans vonnis voeren providers een beheerders daar veel sneller uit.
03-01-2020, 13:28 door Anoniem
Dit zijn wel zaken om in Amerika, Israel, Europa, Saudi-Arabiaen de BRICS landen de neuzen dezelfde kant op te krijgen.
Sluit dan maar een paar anti-ransomware verdragen en jaag ze vervolgens van het Internet.

Anders maakt straks de cybercrimineel de dienst uit op ons aller Interwebz.

J.O.
03-01-2020, 21:53 door Anoniem
Door Anoniem: Ergens moet men beginnen bij de ransomware-hoster dus. Niet op de Seychellen bij de anonimiseringsdienstverlener/ scam protector. Website is nu neergehaald, maar men weet niet wie erachter zitten. Kan wellicht de malcreanten nog gaan opbreken. Je moet beginnen bij anticiperen bij de nieuwe registraties.

Je moet ergens beginnen bij de script kiddies, die later uitgroeien tot zulke cyber-misdadigers. Voedt ze op in de schoolbanken en op de Hoge School.

Ja precies, het is heel belangrijk dat op zijn minst vanaf nu een hoster of dienstverlener op het internet de plicht krijgt om
bij iedere dienst die verleend wordt een verantwoordelijk persoon te registreren die kan worden aangesproken als de
dienst crimineel gebruikt wordt. Dat geldt niet alleen voor website hosting, maar ook voor zaken als e-mail adressen en
andere ontraceerbare entiteiten.

Dat zelfbedachte "het internet is vrij" dat was leuk bedacht maar natuurlijk niet meer realistisch nu het internet deel
uitmaakt van zowat alles. Als er criminelen opduiken dan moet je ze gewoon kunnen pakken. Iemand met een
mailbox bij protonmail die losgeld eist moet gewoon getraceerd kunnen worden door de recherche, en als protonmail
daar niet toe instaat is of daar niet aan wil meewerken dan maar gewoon de stekker eruit.

Idem voor hosters die het allemaal wel prima vinden wat hun klanten uitvreten (daaronder begrepen het voortdurend
scannen van het hele netwerk zoals bijv Shodan doet).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.