Black Cat Ransomware Gang claimt 80 GB aan gestolen Reddit-gegevens

In februari ondervond Reddit, het platform voor sociale nieuwsaggregatie, een inbreuk op de beveiliging waarbij onbevoegden toegang kregen tot interne documenten, code en bepaalde bedrijfssystemen.

Het bedrijf maakte bekend dat het op 5 februari 2023 het slachtoffer was geworden van een geavanceerde en gerichte aanval. De aanval nam de vorm aan van een zeer gerichte phishing-campagne gericht op Reddit-medewerkers. Het is belangrijk op te merken dat gebruikerswachtwoorden en -accounts bij dit incident niet in gevaar zijn gebracht.

De spear-phishing-berichten gebruikten een tactiek om gebruikers om te leiden naar een website die de intranetgateway van het bedrijf imiteerde. De bestemmingspagina van deze misleidende website is ontworpen om slachtoffers te misleiden zodat ze hun inloggegevens en tweede-factor-authenticatietokens verstrekken.

Volgens een bericht van het bedrijf werd de phishing-campagne eind 5 februari 2023 (PST) ontdekt. De aanvallers gebruikten plausibel klinkende prompts om werknemers naar de kloonwebsite van Reddit's intranetgateway te leiden, met als doel hun inloggegevens en tweede-factor-tokens te stelen.

Zodra de aanvallers de inloggegevens van een enkele medewerker hadden verkregen, konden ze toegang krijgen tot bepaalde interne documenten, code, interne dashboards en bedrijfssystemen. Het is belangrijk op te merken dat de primaire productiesystemen van het bedrijf niet in gevaar zijn gebracht.

In de kennisgeving staat verder dat de blootstelling beperkt was tot bepaalde contactgegevens van huidige en voormalige bedrijfscontacten en werknemers, evenals beperkte adverteerdersinformatie. Het eerste onderzoek, uitgevoerd door de beveiligings-, engineering- en datawetenschapsteams van Reddit, vond geen bewijs dat niet-openbare gegevens online waren geopend, gepubliceerd of verspreid.

Bij het ontdekken van het incident meldde de getroffen medewerker zelf de phishing-poging, wat leidde tot een intern onderzoek om de omvang van de inbreuk te beoordelen. Het beveiligingsteam van Reddit reageerde prompt op het incident door de toegang van de indringers te blokkeren.

Vervolgens eiste de BlackCat/ALPHV-ransomwarebende de verantwoordelijkheid op voor de cyberaanval op Reddit in februari. De groep beweert 80 GB aan data (gecomprimeerd) van het platform te hebben gestolen. Ze probeerden twee keer contact op te nemen met Reddit, op 13 april en 16 juni, maar dat lukte niet.

Black Cat publiceert claims van 80 GB gestolen van Reddit

De ransomware-groep publiceerde een bericht op zijn Tor-site voor datalekken, waarin stond dat ze op 5 februari 2023 in Reddit hadden ingebroken en 80 gigabyte aan gegevens hadden verkregen. Ze zeiden dat ze Reddit twee keer hadden gemaild, maar probeerden niet de exacte aard van de gestolen gegevens vast te stellen. Bovendien bekritiseerde de groep Steve Huffman, de CEO van Reddit, voor zijn acties en verwees ze naar eerdere gevallen waarbij bedrijfsleiders betrokken waren tijdens openbare bedrijfsevenementen. Ze spraken hun vertrouwen uit dat Reddit geen losgeld zou betalen voor de gestolen gegevens en leken erop gebrand dat het publiek toegang zou krijgen tot de statistieken en vertrouwelijke informatie die ze hadden verkregen.

De BlackCat/ALPHV-groep eist 4,5 miljoen dollar om de gestolen gegevens te verwijderen. Deze cybercriminele organisatie is actief sinds november 2021 en heeft zich gericht op verschillende slachtoffers, waaronder SOLAR INDUSTRIES INDIA (een fabrikant van industriële explosieven), NJVC (een Amerikaanse defensie-aannemer), Creos Luxembourg SA (een gaspijpleidingbedrijf), Moncler (een modegigant) , Swissport, NCR en Western Digital.

De losgeldeisen van deze groep variëren, variërend van tienduizenden dollars tot tientallen miljoenen dollars, afhankelijk van het slachtoffer.