Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd.
Acer is Aziatisch techbedrijf dat bekend is om zijn laptops, desktops en computermonitoren. Wereldwijd werken er meer dan 7.000 mensen en behaalde het bedrijf in 2019 een omzet van 7,8 miljard dollar. Voor hackers zijn dat aantrekkelijke perspectieven om een bedrijf aan een cyberaanval te onderwerpen en daar een slaatje uit te slaan.
Publicatie data op Darkweb
Dat is precies wat de leden van REvil hebben gedaan. Afgelopen week wisten zij het bedrijfsnetwerk van Acer binnen te dringen en gevoelige informatie te stelen. Tot de gestolen documenten behoren onder meer financiële rapportages, balansen en communicatieberichten tussen Acer en de bank. Om te bewijzen dat de aanvallers niet bluffen, hebben de hackers van REvil deze documenten online gezet.
De hackersgroep eist een bedrag van 50 miljoen dollar voor de decryptor. Deze sleutel is nodig om de gijzelsoftware op de computersystemen van Acer op te heffen en versleutelde bestanden weer toegankelijk te maken. De daders geven het Taiwanese technologiebedrijf tot en zondag 28 maart de tijd om met het geld over de brug te komen. Betalen ze niet, dan dreigen ze het losgeld te verdubbelen. In een gesprek met BleepingComputer bevestigt REvil de hoogte van het losgeldbedrag. Ze zouden Acer zelfs een ‘korting’ van 20 procent hebben geboden als het bedrijf direct betaalde.
Publicatie buitgemaakte bestanden op het darkweb door hackers groep REvil
Via zeroday exploits Microsoft Exchange Server
Hoe de hackers het netwerk van Acer zijn binnengedrongen, willen ze niet kwijt tegenover BleepingComputer. Een tipgever vertelt tegenover de cybersecuritysite dat de aanvallers onlangs de Microsoft Exchange Server van het bedrijf hebben aangevallen.
Eerder deze maand maakte Microsoft bekend dat Microsoft Exchange Server vier zeroday exploits bevatte. Via het beveiligingslek konden cybercriminelen en hackers geruime tijd ransomware of andere malware installeren op bedrijfsservers, en hadden ze tevens toegang tot vertrouwelijke informatie die via de e-mail werd verstuurd.
Het Amerikaanse hard- en softwarebedrijf heeft berekend dat tienduizenden organisaties wereldwijd de dupe zijn van de beveiligingslekken in Microsoft Exchange Server. Ook Nederlandse bedrijven zijn getroffen door de zeroday exploits in Exchange Server. Volgens het Nationaal Cyber Security Centrum (NCSC) zijn minimaal 1.200 servers in ons land besmet geraakt. De Autoriteit Persoonsgegevens heeft tot op heden 75 datalekmeldingen ontvangen naar aanleiding van de beveiligingslekken. De toezichthouder vermoedt dat dit nog maar het topje van de ijsberg is en verwacht de komende tijd ‘een golf aan ransomware-aanvallen’.
Dreigen met supply chain aanval
BleepingComputer benaderde Acer voor een reactie. Het techbedrijf ontkende noch bevestigde de ransomware-aanval. Een woordvoerder liet via e-mail weten dat bedrijven als Acer voortdurend worden aangevallen door hackers. “We hebben recentelijk abnormale situaties gemeld bij de relevante handhavingsinstanties en toezichthouders in meerdere landen”, laat het bedrijf weten.
“We verbeteren onze cybersecurityinfrastructuur voortdurend om de bedrijfscontinuïteit en informatie-integriteit te beschermen. We dringen er bij alle bedrijven en organisaties op aan om zich te houden aan de cybersecuritydiscipline en -voorschriften, en om waakzaam te zijn voor eventuele abnormale netwerkactiviteiten.”
De laatste zin is hoogstwaarschijnlijk aan de persverklaring toegevoegd om te waarschuwen voor een supply chain attack zoals bij SolarWinds. De hackers hebben volgens BleepingComputer tegen Acer gezegd dat ze ‘een herhaling van het lot van SolarWinds’ wil voorkomen. Afgelopen december werden wereldwijd duizenden organisaties getroffen door cyberaanvallen. De aanvallers hadden een backdoor ingebouwd in Orion Network Management Tools van SolarWinds. Via deze verborgen achterdeur hadden de daders op ieder moment toegang tot de netwerken van meerdere Amerikaanse ministeries, lokale en regionale overheden, en honderden bedrijven en organisaties.
REvil op nr 4
Acer is niet het eerste slachtoffer van REvil, die ook wel Sodinokibi wordt genoemd. In januari 2020 viel de hackers groep het wisselkantoor Travelex aan. De daders hadden naar eigen zeggen 5 GB aan klantgegevens gedownload en dreigden deze openbaar te maken als het bedrijf niet 6 miljoen dollar aan losgeld zou betalen.
In augustus vorig jaar was de Brown-Forman Corporation aan de beurt, het moederbedrijf van onder meer Jack Daniel’s. REvil installeerde gijzelsoftware op de servers van het bedrijf en stal 1 TB aan vertrouwelijke gegevens, waaronder informatie over werknemers, bedrijfscontracten, financiële gegevens en interne correspondentie. Brown-Forman zei van meet af aan niet te onderhandelen met criminelen.
Tot slot worden de leden van REvil verantwoordelijk gehouden voor de cyberaanval op Capcom, hoewel de naam Ragnar Locker in deze zaak ook wordt genoemd. Via een TrickBot Injection zouden de hackers zijn binnengedrongen bij de game ontwikkelaar. Het bedrijf bevestigde dat er bij de aanval persoonlijke informatie van ruim 16.000 zakenpartners, personeelsleden en oud-medewerkers werd gestolen. Van nog eens 390.000 mensen zijn mogelijk vertrouwelijke gegevens gestolen, maar dat wordt nog onderzocht.
Bron: diverse, bleepingcomputer.com, vpngids.nl
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier.