DarkSide valt Europese tak van Toshiba Corporation aan
Op het spoor van de succesvolle aanval op de infrastructuur van Colonial Pipeline die resulteerde in een uitbetaling van $ 5 miljoen aan losgeld, voerde de groep van dreigingsactoren die bekend staat als DarkSide opnieuw een ransomwareaanval uit. Dit keer was het doelwit van DarkSide een Europese onderverdeling van de in Japan gevestigde Toshiba Corporation.
Op 14 mei publiceerde Toshiba een informatief artikel, waarin staat dat Europese dochterondernemingen van Toshiba Tec Group het laatste slachtoffer zijn geworden van een ransomware-aanval en "schade hebben geleden".
Toshiba heeft de stekker uit de getroffen netwerken getrokken om de verdere verspreiding van de ransomware te voorkomen en systemen die actief zijn tussen het oude continent en Japan, en inter-Europese systemen zijn gestopt om de schade tot een minimum te beperken.
Volgens de huidige informatie is de schade beperkt tot verschillende Europese regio's en zijn er geen aanwijzingen dat klantinformatie is gestolen.
Ondanks de geruststelling dat er geen klantinformatie is gelekt of gestolen, vermeldt de aankondiging dat "bepaalde informatie en gegevens mogelijk zijn gelekt". De groep die verantwoordelijk is voor de aanval is de DarkSide-groep die ransomware implementeerde op Colonial Pipeline-systemen in de VS en een grote uitval van de brandstoftoevoer veroorzaakte die enkele dagen duurde.
Het resultaat van de vorige aanval was een losgeldbetaling van $ 5 miljoen die Colonial slechts enkele uren na de aanval uitvoerde. Ondanks de snelle betaling bleek de decoderingstool van de hackers veel te traag en herstelde het bedrijf de operaties met behulp van zijn eigen interne back-ups. Toshiba doet momenteel hetzelfde en werkt eraan om de getroffen netwerken op orde te brengen met behulp van back-ups.
Hoewel de website van de DarkSide-groep momenteel niet toegankelijk is, meldde ZDNet dat een cacheversie van een pagina die door DarkSide werd gepubliceerd, beweerde dat ongeveer 740 gigabyte aan gegevens werd geëxtraheerd uit Toshiba's systemen en inclusief gescande paspoorten en projectdocumentatie die toebehoort aan Toshiba.
Het valt nog te bezien of de slechte actoren die bestanden opnieuw publiceren. Bedreigingsgroepen die ransomware gebruiken, zijn onlangs overgestapt op een dubbel afpersingsmodel, waarbij zowel de bestanden van het slachtoffer worden versleuteld als zoveel mogelijk gevoelige gegevens worden geëxfiltreerd, in een poging het slachtoffer verder te chanteren en te dreigen met datalekken als niet aan de losgeldvereisten wordt voldaan.
DarkSide werkt volgens een ransomware-as-a-service-principe en verleent hun schadelijke tools aan hackers van derden. Zodra een betaling is binnengekomen, splitsen de externe hackers de uitbetaling op met de belangrijkste bedreigingsacteur die de ransomware beheert en ondersteunt.
Twee dagen geleden pochte DarkSide dat ze al drie andere doelen hebben aangevallen. De kans is groot dat de Europese tak van Toshiba het eerste van deze drie doelwitten was.
