11 miljoen, betalen aan cybercriminelen lijkt de norm!?

Gepubliceerd op 10 juni 2021 om 15:00

De Amerikaanse tak van vleesverwerker JBS bevestigt dat het 11 miljoen dollar heeft betaald aan hackers. Op deze manier wilde de grootste vleesproducent ter wereld het risico voor klanten verkleinen. Op het moment dat het bedrijf het losgeld aan de aanvallers betaalde, was het grootste deel van het productieproces al weer operationeel.

Eind mei wisten hackers het bedrijfsnetwerk van JBS binnen te dringen en ransomware te installeren. Uit voorzorg besloot het bedrijf om een aantal filialen in Australië, Canada en de VS tijdelijk te sluiten. Na enkele dagen werd het productieproces weer opgestart en was het weer business as usual. Over de omvang en de ontstane schade zijn nooit mededelingen gedaan. Het vleesverwerkingsbedrijf heeft van meet af aan gezegd dat er geen bedrijfsgevoelige of andere vertrouwelijke data is gestolen.

Russische hackers

Nadat de ransomware-aanval werd geconstateerd, nam JBS contact op met het Witte Huis en de FBI. De inlichtingen- en veiligheidsdienst zei dat REvil -ook wel Sodinokibi genoemd- naar alle waarschijnlijkheid verantwoordelijk was voor de cyberaanval. Dat zijn hackers die vanuit Rusland opereren. Of dat betekent dat Rusland achter de aanval, is allerminst zeker. De regering van president Biden nam wel contact met de Russische overheid met de boodschap dat ‘deugdelijke staten geen onderdak bieden aan ransomware-criminelen’.

Betaling bevestigd

Een vraag die tot op heden onbeantwoord was gebleven, is of JBS losgeld had betaald aan de hackers. Woensdagavond Nederlandse tijd bevestigde topman Andre Nogueira dat hij een bedrag van 11 miljoen dollar had betaald aan de aanvallers. “Het was een zeer moeilijke beslissing om te nemen voor ons bedrijf en mij persoonlijk. We vonden echter dat we deze beslissing moesten nemen om ieder risico voor onze te klanten te vermijden”, zo zegt hij in een persverklaring.

Op het moment dat Nogueira het geld overmaakte naar de hackers, was een groot deel van het bedrijf al weer actief. In overleg met interne IT-medewerkers en cybersecurityexperts van buitenaf, besloot JBS toch om het losgeld te betalen om zo de schade zoveel mogelijk te beperken. Het forensisch onderzoek is nog altijd in volle gang. Voorlopige resultaten bevestigen dat er geen gegevens zijn gecompromitteerd van het bedrijf, werknemers of klanten.

JBS geeft jaarlijks meer dan 200 miljoen dollar uit aan cybersecurity en informatiebeveiliging. Wereldwijd werken er meer dan 850 IT-professionals voor het vleesverwerkingsbedrijf. Naar eigen zeggen beschikt de vleesverwerker over onder meer cyberveiligheidsprotocols en versleutelde back-upservers.

Betalen de norm geworden?

JBS is niet het enige grote bedrijf dat recentelijk losgeld heeft betaald aan hackers. Eind april was Colonial Pipeline het doelwit van een ransomware-aanval. Daarbij werd naar verluidt 100 GB aan data buitgemaakt door leden van het Russische hackerscollectief DarkSide, die de gegevens dreigden openbaar te maken.

Omdat tientallen miljoenen Amerikanen afhankelijk zijn van de aanvoer van geraffineerde aardolie van het bedrijf, besloot CEO Joseph Blount om de 4,4 miljoen dollar aan losgeld te betalen. “Ik besef dat het een controversiële beslissing is. Die heb ik niet lichtvaardig genomen. Ik voelde me niet op mijn gemak toen ik het geld zag wegvloeien naar de daders. Ik deed het in het landsbelang”, zei hij in een interview met The Wall Street Journal. De hackers wisten het bedrijfsnetwerk binnen te dringen dankzij een gelekt wachtwoord van een VPN account die niet was beveiligd met meerfactorauthenticatie. Tijdens een hoorzitting voor de Senaat zei Blount dat hij niet weet hoe dit heeft kunnen gebeuren. Tevens benadrukte de topman dat het om een sterk wachtwoord ging.

Deze week maakte het Amerikaanse ministerie van Justitie bekend dat ze een groot deel van het betaalde losgeld heeft weten terug te halen. De FBI wist de hand te leggen op de private key van de cryptowallet die DarkSide gebruikte. Zodoende had de handhavings- en opsporingsdienst toegang tot de digitale portemonnee van de hackers. Op deze manier wist de veiligheidsdienst 63,7 van de 75 bitcoin terug te schrijven naar Colonial Pipeline.

BS USA Cyberattack Media Statement
PDF – 143,4 KB 217 downloads

Bron: jbsfoodsgroup.com, vpngids.nl

Meer info over ransomware

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Belgie: Nu ook bedrijf in Tielt getroffen door ransomware

Opnieuw is een bedrijf getroffen door zogenoemde gijzelsoftware. Computers van Mitsubishi Chemical Advanced Materials in Tielt werden vorige week geïnfecteerd met ransomware. Volgens de directie komt de productie echter niet in het gedrang. Zo’n 15 à 20 werknemers van de administratieve dienst zijn momenteel wel technisch werkloos. 

Lees meer »

Belgie: 1.700 computers Atlas College Genk geblokkeerd

Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.

Lees meer »

Kamer vragen over losgeld na ransomware aanvallen

D66 heeft minister Grapperhaus van Justitie en Veiligheid om duidelijkheid gevraagd over het betalen van losgeld door publieke instanties bij ransomware aanvallen. De aanleiding voor de Kamervragen is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen. Maar ook het nieuws dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen. Deze ontwikkelingen zijn mogelijk stimulerend voor cybercriminelen omdat de kans op betaling voor ransomware lijkt toe te nemen.

Lees meer »

Cybercriminelen beproeven hun geluk met Ransomware

Talloze cybercriminelen kiezen ervoor hun geluk te beproeven met het creëren en verspreiden van ransomware-bedreigingen. De toegangsbarrière als het gaat om het creëren van een ransomware-bedreiging is vrij laag. Dit komt omdat er verschillende bouwpakketten voor ransomware zijn, evenals gevestigde Trojans voor gegevensvergrendeling waarvan de code gemakkelijk online beschikbaar is (darkweb). Dit verklaart waarom de meeste nieuw gespotte ransomware-bedreigingen slechts kopieën zijn van reeds bestaande Trojaanse paarden die bestanden coderen. Sommige cybercriminelen bouwen hun bedreigingen echter helemaal opnieuw op. Dit lijkt te zijn wat er gebeurt met de 'Zeoticus' Ransomware.

Lees meer »