Acer, de op vijf na grootste computerfabrikant, is mogelijk slachtoffer geworden van een grootschalige ransomware-aanval. Explosief: Exchange servers kunnen als gateway hebben gediend.
50 miljoen Amerikaanse dollar in cryptocurrency: zoveel geld eisen cybercriminelen blijkbaar voor het ontsluiten van versleutelde bedrijfsgegevens van de Taiwanese computerfabrikant Acer. Eerder hadden zij haar IT-systemen aangevallen met de ransomware “REvil”. Deze malware verspreidt zich in het netwerk en versleutelt automatisch belangrijke, vaak gevoelige gegevens. Cybercriminelen vragen meestal losgeld voor decryptie. Dit meldde het nieuwsportaal Bleepingcomputer met verwijzing naar verschillende bronnen.
Volgens het rapport sloeg de hackersgroep toe op 14 maart 2021: Vermoedelijk hebben zij zich via een exchange-server toegang verschaft tot de IT-infrastructuur van het bedrijf, documenten buitgemaakt en gegevens vergaand versleuteld. Op internet zijn screenshots opgedoken waarop enkele van de vastgelegde documenten te zien zijn – en die het bedrijf waarschijnlijk onder druk zullen zetten. Onder meer financiĆ«le en klantgegevens zouden zichtbaar zijn.
Geld: korting bij onmiddellijke betaling, verdubbeling bij missen deadline
Nu eisen de hackers een losgeld van 50 miljoen Amerikaanse dollar. Volgens Bleepingcomputer kon het een chat bekijken tussen de criminelen en vertegenwoordigers van Acer. Aanvallers gebruiken dergelijke acties ook om de druk op hun slachtoffers op te voeren.
In dit geval waren de vertegenwoordigers van het bedrijf geschokt door de hoogte van de losgeldeis. In het verdere verloop, zouden de cyber-gangsters een korting van 20 procent hebben aangeboden als het bedrag onmiddellijk zou vloeien. Als Acer daarentegen op 28 maart niet aan de eisen zou voldoen, zouden de hackers 100 miljoen dollar eisen.
Tegen Bleepingcomputer wilde Acer het incident niet direct bevestigen, maar sprak het van een lopend onderzoek en verklaarde het dat het uit veiligheidsoverwegingen geen details kon toelichten.
Exchange server als gateway?
Tot nu toe zijn er geen betrouwbare bevindingen over de manier waarop de criminelen het IT-systeem van Acer wisten binnen te dringen. Een mogelijke invasieve vector is via gecompromitteerde e-mailservers. Het IT-portaal heise.de meldt dat er begin maart een massale hack van lokale Exchange-servers heeft plaatsgevonden door de hackersgroep Hafnium.
Ze hadden misbruik gemaakt van de “ProxyLogon”-kwetsbaarheid, waarvoor Microsoft pas begin maart een patch had gepubliceerd. Eerder waren al publieke exploits bekend geworden waarmee cybercriminelen herhaaldelijk hadden geprobeerd om ransomware of crypto-minersoftware te installeren op ongepatchte systemen
Dit artikel is afkomstig van ons partnerportaal Elektronikpraxis.