"Storing" bij Canon

Gepubliceerd op 6 augustus 2020 om 12:04

Dat er veel meer cybercrime slachtoffers zijn dan wordt gemeld, is inmiddels wel duidelijk. Er heerst nog altijd een taboe rondom slachtofferschap van digitale delicten.

Bedrijven ontkennen eerst vaak of doen het af met een 'storing'. Zo gaf eind juli het bekende bedrijf Garmin toe dat ze slachtoffer waren geworden van Ransomware - pas na dat de bewijzen zich opstapelden. In eerste instantie deden ze het af met het melden van een storing.

Bij personen die slachtoffer worden van cybercrime is het net iets anders. Meestal is er schaamte of voelt men zich dom dat ze slachtoffer geworden zijn. Deze schaamte is echter niet terecht, want iedereen kan slachtoffer worden van deze slimme oplichters. Je kunt het vergelijken met een woning inbraak; durf jij te beweren dat er niemand in staat is om in te breken in jouw woning?

Door deze onzichtbare en anonieme slachtoffers blijft cybercrime een probleem dat stelselmatig onderschat wordt. Openheid van zaken en ervaringen uitwisselen zouden ons allen helpen bij het ons 'digitaal weerbaarder' worden. Dit is niet meer alleen belangrijk, maar inmiddels ook noodzakelijk voor het goed functioneren van onze samenleving.

Een positieve uitzondering is de Universiteit van Maastricht die openheid en transparantie gaven van het incident (ransomware aanval) met kerst 2019.

Storing bij Canon?

Canon heeft een ransomware-aanval ondergaan die van invloed is op tal van services, waaronder Canon's e-mail, Microsoft Teams, de website van de VS en andere interne applicaties.

De bewijzen

BleepingComputer heeft een verdachte storing op de image.canon cloud-foto- en video-opslagdienst van Canon gevolgd, wat resulteerde in het verlies van gegevens voor gebruikers van hun gratis 10GB opslagfunctie.

De image.canon-  site leed een 'storing' op 30 juli 2020 en gedurende zes dagen zou de site statusupdates weergeven totdat deze gisteren, 4 augustus, weer in gebruik werd genomen.

De laatste statusupdate was echter vreemd omdat er wordt vermeld dat er weliswaar gegevens verloren gingen, "er geen lek was in de beeldgegevens". Dit bracht BleepingComputer en Cybercrimeinfo ertoe te geloven dat er meer aan de hand was en dat ze een cyberaanval hadden geleden.

Image.canon storing

Toen we contact opnamen met Canon over deze storing, verwezen ze ons naar de melding op de image.canon-site.

Bewijzen Ransomware aanval stapelen op

Vandaag nam een ​​bron contact op met BleepingComputer en deelde een afbeelding van een bedrijfsbrede melding met de titel 'Bericht van IT-servicecentrum' die vanochtend om ongeveer zes uur 's ochtends door de IT-afdeling van Canon werd verzonden.

In deze melding staat dat Canon te maken heeft met "wijdverbreide systeemproblemen die van invloed zijn op meerdere applicaties, teams, e-mail en andere systemen die op dit moment mogelijk niet beschikbaar zijn".

Bericht van de IT-afdeling van Canon

Als onderdeel van deze storing vertoont de website van Canon USA nu fouten of pagina niet gevonden fouten bij bezoek.

Canon USA-website is down

De lijst met Canon-domeinen die door deze storing lijken te zijn getroffen, omvat:

Sindsdien heeft BleepingComputer een gedeeltelijk screenshot gemaakt van de vermeende 'Canon ransom note', die we hebben kunnen identificeren als 'Maze-ransomware'.

Fragment uit de Maze-ransomware-melding

Maze beweert 10TB aan gegevens van Canon te hebben gestolen

Na contact te hebben opgenomen met de ransomware-operators, kreeg BleepingComputer van Maze te horen dat hun aanval vanochtend werd uitgevoerd toen ze "10 terabytes aan gegevens, privédatabases enz." Stalen als onderdeel van de aanval op Canon.

'Maze' weigerde verdere informatie over de aanval te delen, inclusief het losgeldbedrag, bewijs van gestolen gegevens en het aantal versleutelde apparaten. 

Hoewel we eerst dachten dat de storing image.canon verband hield met de ransomware-aanval, heeft Maze ons verteld dat deze niet door hen werd veroorzaakt.

Maze is een door mensen beheerde ransomware die zich op ondernemingen richt en die zich stiekem lateraal via een netwerk verspreidt, totdat het toegang krijgt tot een beheerdersaccount en de Windows-domeincontroller van het systeem.

Tijdens dit proces steelt Maze niet-versleutelde bestanden van servers en back-ups en uploadt deze naar de servers van de cybercriminelen.

Zodra ze het waardevolle netwerk hebben verzameld en toegang hebben gekregen tot een Windows-domeincontroller, zal Maze de ransomware in het hele netwerk inzetten om alle apparaten te versleutelen.

Als een slachtoffer het losgeld niet betaalt, zal Maze de gestolen bestanden van het slachtoffer openbaar verspreiden op een data-leksite die ze hebben gemaakt.

In een verklaring aan BleepingComputer zegt Canon dat ze "momenteel de situatie onderzoeken".

Bron: bleepingcomputer, Maze, diverse

Update


«   »