'Foutje ransomwaregroep leidt securitybedrijf naar gestolen data 12 bedrijven'

In dit artikel:

Het securitybedrijf Cyber Centaurs ontdekte dankzij een fout van de INC-ransomwaregroep de gestolen data van twaalf bedrijven. Tijdens onderzoek bij een slachtofferorganisatie stuitten de onderzoekers op Restic, een back-uptool die aanvallers kunnen misbruiken om veel data weg te halen omdat het netwerkverkeer op legitieme back-ups lijkt. INC gebruikt Restic volgens de onderzoekers regelmatig, soms door de tool naar omgevingen te kopiëren en soms door reeds aanwezige back-uptools zoals Veeam te benutten. In de onderzochte omgeving was Restic wel aanwezig maar niet actief gebruikt voor exfiltratie; onderzoekers vonden echter een script met hardcoded opslaggegevens (S3-achtige endpoint, inloggegevens en configuratie) en concludeerden dat die informatie herbruikbare toegang gaf tot meerdere repositories. Met een zelfgemaakt script hebben ze repository-identifiers en snapshots geënumeriseerd en zo data van twaalf Amerikaanse bedrijven in sectoren als gezondheidszorg, productie en dienstverlening teruggevonden. Cyber Centaurs schakelde direct de autoriteiten in zodat slachtoffers geïdentificeerd en vervolgstappen genomen konden worden. De zaak illustreert hoe aanvallers legitieme backuptechnieken inzetten om detectie te omzeilen en waarom het cruciaal is om credentials, backup-endpoints en atypisch “backup”-verkeer actief te monitoren en te beschermen.