Ransomwaregroep lekt gestolen data via nagemaakte website slachtoffer

[Captain Kirk]

De criminelen achter de BlackCat-ransomware, ook bekend als ALPHV, hebben gegevens van een accountantskantoor via een nagemaakte website van het slachtoffer gelekt. De website is via het 'gewone' internet bereikbaar en gebruikt een domeinnaam die erg op dat van het getroffen accountantskantoor lijkt. Dat laten beveiligingsonderzoekers Dominic Alvieri en Brett Callow weten.

Het is inmiddels voor veel ransomwaregroepen standaard om bij een aanval ook gevoelige data van een getroffen organisatie te stelen. Als de organisatie het gevraagde losgeld niet betaalt wordt de gestolen informatie via de eigen website van de ransomwaregroep openbaar gemaakt. Deze websites worden gehost op het Tor-netwerk en vereisen het gebruik van Tor-browser om te worden bezocht.

Eind december maakte de groep bekend dat een Amerikaans accountkantoor slachtoffer was geworden. In plaats van de gestolen gegevens via de eigen website te lekken, creëerde de ransomwaregroep een bijna identieke website van het accountkantoor en registreerde hiervoor een aparte, lijkende domeinnaam. Via de website kan op gestolen gegevens worden gezocht, waaronder klantenaudits en kopieën van paspoorten. Mogelijk dat de groep denkt op deze manier extra druk op het accountantskantoor uit te kunnen oefenen.

Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd afgelopen september getroffen door de BlackCat-ransomware, en eerder werd ook ID-ware slachtoffer, dat toegangssystemen levert aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer.

 

bron: https://www.security.nl