Cybercriminelen publiceren tientallen gigabytes aan interne gegevens van LG en Xerox

Gepubliceerd op 5 augustus 2020 om 05:55

Cybercriminelen publiceren tientallen gigabytes aan interne gegevens van LG en Xerox

De cybercriminelen van de Maze-ransomware hebben gisteren tientallen GB interne gegevens van de netwerken van de zakelijke reuzen 'LG' en 'Xerox' gepubliceerd na twee mislukte afpersingspogingen.

De hackers lekten 50,2 GB die ze beweren te hebben gestolen uit het interne netwerk van LG en 25,8 GB aan gestolen Xerox-gegevens.

Hoewel LG in juni een algemene verklaring aflegde aan  ZDNet , wilde geen van beide bedrijven gisteren uitgebreider over het incident praten.

Beide bedrijven worden afgeperst sinds eind juni, toen de cybercriminelen van de Maze groepering ransomware aanvallen hadden uitgevoerd en meldingen maakten op hun 'lekportaal' dat ze ook data in handen hadden.

Maze hackers

De Maze-bende staat vooral bekend om zijn gelijknamige ransomware-reeks en werkt meestal door bedrijfsnetwerken te doorbreken, eerst gevoelige bestanden te stelen, vervolgens gegevens te versleutelen en losgeld te eisen om bestanden te decoderen.

Als een slachtoffer weigert de vergoeding te betalen om zijn bestanden te decoderen en besluit om back-ups te herstellen, maakt de Maze-bende een vermelding op een 'lekwebsite' en dreigt de gevoelige gegevens van het slachtoffer te publiceren (doxware) in een tweede poging tot losgeld / afpersing.

Het slachtoffer krijgt dan een paar weken de tijd om na te denken over zijn beslissing, en als slachtoffers tijdens deze tweede afpersingspoging niet toegeven, zal de Maze-bende bestanden op haar portaal publiceren.

LG en Xerox bevinden zich in deze laatste fase, nadat ze blijkbaar hebben geweigerd aan de eisen van de Maze-bende te voldoen.

De gestolen data

ZDNet  volgt beide incidenten sinds ze eind juni voor het eerst waren aangekondigd op de Maze-website.

Op basis van screenshots die vorige maand door de Maze-bende zijn gedeeld en op basis van voorbeelden van bestanden die gisteren door ZDNet  zijn gedownload en beoordeeld, lijken de gegevens broncode te bevatten voor de 'cloused-source-firmware' van verschillende LG-producten, zoals telefoons en laptops.

In een e-mail in juni vertelde de Maze-bende aan ZDNet dat ze hun ransomware niet op het netwerk van LG hadden uitgevoerd, maar dat ze alleen de bedrijfseigen gegevens hadden gestolen en ervoor kozen om door te gaan naar de tweede fase van hun afpersingspogingen.

"We hebben besloten om [the] Maze [ransomware] niet uit te voeren omdat hun klanten maatschappelijk belangrijk zijn en we geen verstoring van hun activiteiten willen veroorzaken, dus we hebben alleen de gegevens gefilterd", vertelde de Maze-bende aan  ZDNet  via een contactformulier op hun lek site.

Toen ZDnet het LG-beveiligingsteam in juni om commentaar vroeg, vertelde ze dat ze het incident zouden onderzoeken en melden bij de autoriteiten.

In een vervolgmail die ZDnet gisteren verstuurde nadat de Maze-bende meer dan 50 GB van de bestanden van het bedrijf had gepubliceerd, ontving ZDnet een vergelijkbare e-mail zoals eerder in juni was ontvangen. 

Maar terwijl we een beetje een idee hebben van wat er is gebeurd met de Maze-aanval op LG, zijn de zaken veel duisterder als het gaat om Xerox.

Xerox incident

Het bedrijf heeft geen verzoeken om commentaar geretourneerd die in juni en gisteren zijn verzonden.

Het is onduidelijk welke interne systemen de Maze-bende heeft versleuteld, of dat bestanden zonder versleuteling zijn gestolen en reeds betaald, in vergelijking met het LG incident.

Op basis van een vluchtige beoordeling van gegevens die gisteren online zijn gelekt, lijkt het erop dat de Maze-bende gegevens heeft gestolen met betrekking tot 'klant ondersteuningsactiviteiten'.

Op het moment van schrijven vonden we informatie over Xerox-medewerkers "we hebben echter nog geen bestanden gevonden met gegevens over klanten van Xerox, alhoewel dit een grote schat aan informatie is en het zal tijd kosten om alles te herzien."

In een interview met Bad Packets , een 'threat intelligence bedrijf', vertelde Troy Mursch, de mede-oprichter van het bedrijf, in juni aan ZDNet dat beide bedrijven Citrix ADC-servers gebruikten die op een bepaald moment niet gepatcht en kwetsbaar online bleven, volgens de internet scans van zijn bedrijf.

De servers waren kwetsbaar voor de kwetsbaarheid  CVE-2019-19781, die Mursch beschreef als 'Maze's favoriete compromisvector'.

Ironisch genoeg, op dezelfde dag dat de Maze-bende LG-bestanden lekte op zijn lekportaal, vertelde het bedrijf  Shadow Intelligence ZDNet in een e-mail dat een andere hacker 'de toegang tot het onderzoeks- en ontwikkelingscentrum (LG) van LG America op een hackforum verkocht.'

De vraagprijs lag tussen de € 8.500 en €11.000, volgens screenshots die met ZDNet werden gedeeld.

Wat is het verschil tussen doxware » en ransomware »


«