Productie van chipfabrikant X-Fab ligt stil na gerichte cyberaanval

De Belgisch-Duitse chipfabrikant X-Fab heeft de productie in alle zes zijn fabrieken wereldwijd stilgelegd. Dat doet het bedrijf uit voorzorg nadat het werd getroffen door een gerichte cyberaanval. Wanneer de productie verder kan, is niet duidelijk.

Op advies van beveiligingsexperts heeft X-Fab zijn computersystemen stopgezet en als preventieve maatregel is de productie overal gestaakt. Het is niet duidelijk of het bedrijf is getroffen door ransomware of dat het om een ander soort aanval gaat. X-Fab heeft het over een gerichte aanval, maar noemt geen inhoudelijke details. Het bedrijf zegt samen te werken met experts om de systemen te herstellen.

Het is niet duidelijk hoe lang de productie offline zal zijn. Ook kan het bedrijf nog niet schatten wat de financiële gevolgen zullen zijn. Wel meldt het dat het van plan was om in het derde kwartaal de productie tijdelijk stil te leggen als kostenbesparende maatregel naar aanleiding van de coronacrisis. Deze shutdowns zijn nu vervroegd doorgevoerd.

X-Fab is onder andere gespecialiseerd in micro-elektromechanische systemen, ofwel mems. Het bedrijf heeft fabrieken in zes landen. Het maakt daar chips voor medische en industriële toepassingen, en de auto-industrie. Ook maakt X-Fab onderdelen voor sensoren in smartphones. Het kleinste procedé van het bedrijf is 130nm.

X-Fab is opgericht door de Belgische ondernemer Roland Duchâtelet en heeft een Belgische ceo. Het hoofdkwartier is in Duitsland gevestigd. De X-Fab Group heeft verschillende overnames gedaan en heeft zo zes productielocaties bemachtigd in Duitsland, Maleisië, Frankrijk en de Verenigde Staten.

Reacties (20)

adje123 6 juli 2020 11:36

Kunnen ze niet gewoon Windows Systeemherstel doen? Uiterwaard wel naar een moment voor de ransomware....

EnigmA-X

@adje123 • 6 juli 2020 12:03

Geen idee waarom je zo gedownmod wordt, maar ik ga er toch even inhoudelijk op reageren.

Een chipfabrikant is qua IT systemen over het algemeen "complex". Veel systemen in zo'n proces zijn geen Windows systemen, maar eerder linux(-achtigen) en RTOS al dan niet op PLC's.

Vaak zijn er allerhande afhankelijkheden binnen zo'n systeem. Denk bijvoorbeeld aan de onderlinge afhankelijkheden van authenticatie, gedeelde storage, beschikbaarheid van message-bus systemen, etc. Ook kunnen er onderlinge afhankelijkheden tussen verschillende verstigingen zijn (denk aan bijvoorbeeld SAP-systemen).

Zo'n productie systeem moet stukje bij beetje weer opgebouwd worden en als het helemaal kapot/onbetrouwbaar is, kan dat zomaar een hele langdurige complexe legpuzzel worden waarbij ook allerlei strategische beslissingen gemaakt moeten worden.

Samengevat: nee, het is niet zo simpel als een Windows Systeemherstel "doen"

Cilph @adje123 • 6 juli 2020 14:11

Zelfs al draaiden we overal Windows, zelfs al hadden ze overal Systeemherstel. Ransomware encrypt ook je Systeemherstel. Die is nutteloos.

bartvdbraak @Cilph • 6 juli 2020 19:53

Offline backups zouden hierbij toch niet mee gepakt worden?

Verwijderd @bartvdbraak • 7 juli 2020 01:25

Tegen de tijd dat je ransomware opmerkt dan zitten je backups er ook al vol mee. Dan moet je zover terug in de tijd dat je alsnog heel veel data kwijtraakt. Het is dan ook van belang dat je de kans op ransomware zo klein mogelijk maakt (geen externe bestanden toelaten, downloaden niet toestaan, email attachments blokkeren waar mogelijk en praktisch) en om goede detectie in te bouwen. En dan nog ben je uiteraard niet gevrijwaard.

D0gtag @adje123 • 6 juli 2020 12:00

Was het leven maar zo simpel.

0b1 @adje123 • 6 juli 2020 13:42

Als systeembeheerder zou ik een gat in de lucht kunnen springen als dit zo simpel was geweest.
Zo goed als alle bedrijven hebben een "complex" IT infrastuctuur dat historisch gegroeid is. Met alle nadelen als gevolg en ja er zit ook veel "prutswerk" bij. Je mag zo goed je best doen bij een nieuwe opzet maar het is bijna onhaalbaar.

Momenteel zetten we klanten op waar hun live omgeving bijna simultaan loopt met een backup systeem, bij uitval/aanval neemt de failover over, als het correct geïmplementeerd werd. Werkt deze failover ook niet, dan wordt de omgeving in ons datacenter gestart deze loopt 1 dag achter op de live productie omgeving. Een restore ga je altijd moeten gaan doen hoe complex het ook is.

Er zijn tal van oplossingen, en betere oplossingen maar het is altijd een kwestie van geld. Wij hebben klanten die zeggen, ons systeem werkt al 10 jaar zonder probleem, waarom betalen wij voor SLA, support en voor de backup, laat dit maar vallen de komende jaren, hebben we niet nodig.

[Reactie gewijzigd door 0b1 op 23 juli 2024 18:51]

Lagonas @adje123 • 6 juli 2020 14:32

Of een systeemherstel zin heeft na een ransomware terzijde, staat er ook nergens dat het om ransomware gaat.

Cergorach

Networking en security

6 juli 2020 11:18

Je ziet in februari de koers al inklappen (hebben ze toen de c-shutdown aangekondigd?) De afgelopen dag is de koers nog verder aan het dalen...

Als zo een cyberaanval kan leiden tot een significante koersverlaging zouden mensen daar wel eens misbruik van kunnen gaan maken...

XeriuM

@Cergorach • 6 juli 2020 11:24

De koersdaling in februari heeft daar niets mee te maken. De AEX zakte in die periode ook flink, het was dus meer de markt in het algemeen i.p.v. specifiek X-Fab.

Scriptkid @XeriuM • 6 juli 2020 16:25

nee maar een klap toevoegen in de huidige corona crisis op zoon bedrijf kan wel eens de genade klap zijn waardoor ze falliet gaan en de productie naar een ander land gaat verhuizen.

Je mag gokken of de aanvallers en de productie verhuizing dan naar het zelfde land gaan

SolidShadow 6 juli 2020 13:01

We gaan de komende jaren de "Software Defined Access" techniek hard nodig hebben om onze bedrijven te blijven beschermen.

Slurpgeit 6 juli 2020 11:39

Het stukje "gerichte" zal wel meevallen. Waarschijnlijk gewoon weer een gevalletje gelekte / geraden credentials op een portal. Maargoed, dan moet je toegeven dat je beveiliging niet oke was

Lord Thunder @Slurpgeit • 6 juli 2020 12:02

Gelekte credentials is niet tegen te beveiligen als bijvoorbeeld het lek via een actie van iemand binnen uit loopt. Ik zeg niet dat dit hier aan de hand is, maar het is wel makkelijk roepen dat de beveiliging niet op orde was als je de toedracht niet kent.

Slurpgeit @Lord Thunder • 6 juli 2020 12:05

Mwah, ik heb dit jaar alleen al een handvol soortgelijke cases gedaan bij verschillende bedrijven. Elke keer begon het met "gerichte aanval" en eindigde het met "ze hebben een wachtwoord op de RD gateway kunnen raden". Zegt inderdaad niet dat dat in dit specifieke geval ook de oorzaak is, maar ik zou er best een flink geldbedrag op in durven zetten.

Zer0 @Slurpgeit • 6 juli 2020 12:58

Ik zie het verband niet tussen hoe men binnenkomt (geraden wachtwoord) en de intentie waarmee men binnen probeert te komen (gerichte aanval)

Slurpgeit @Zer0 • 6 juli 2020 13:12

Dat komt omdat de intentie ook geen gerichte aanval is. De intentie is bij een groot bedrijf ransomware deployen zodat ze betalen. Ik zal het template rapport alvast schrijven:

1. Eerder dit jaar zijn er veel brute-force pogingen geweest op $remote-werk-omgeving.
2. Na een succesvolle inlogpoging zijn de brute-forces gestopt.
3. Na enkele weken stilte wordt buiten kantoortijden ingelogd met het account uit punt 2.
4. Binnen enkele dagen krijgen de aanvallers "Domai Admin" rechten binnen het domein.
5. Er wordt ingelogd op de server verantwoordelijk voor de back-ups, en deze worden verwijderd waar mogelijk.
6. (Optioneel) Anti-malware producten worden uitgeschakeld en / of verwijderd.
7. Ransomware wordt uitgerold op zoveel mogelijk systemen.

Dit is namelijk de standaard werkwijze van ransomware groeperingen. Andere mensen zijn constant brute-forces aan het uitvoeren op allerlei systemen (VPN. RDP, etc.) en verkopen deze toegang voor een paar dollar op TOR marketplaces. Een ander koopt een paar van deze accounts, kijkt of het bedrijf waar het account voor is de moeite is, en doorloopt de bovenstaande stappen.

Vanuit het perspectief van het bedrijf ziet dit er allemaal super advanced uit, want men logt *opeens* in met een correct account, terwijl ze in werkelijkheid de brute-force van een paar weken terug gewoon nog niet gevonden hebben. Vervolgens zijn ze *opeens* beheerder in het netwerk (vaak gewoon een kwestie van local admins zoeken en mimikatz uitvoeren), en loggen ze "gericht" in op de VEEAM server (ik noem maar wat).

Daarnaast heeft de ransomware ook nog eens de bedrijfsnaam in de extensie van de versleutelde bestanden staan, "dus dan moet het wel gericht zijn" . Terwijl de realiteit is dat deze groepen zoveel bedrijven aanvallen, dat ze dit gewoon gebruiken om bij te houden welke sleutel bij welke malware hoort.

Vervolgens komt er een club specialisten bij, die zien dat er niks gedaan kan worden (want offline backups zijn er vaak niet), dus die vertellen de klant dat het super advanced was, raden aan te betalen, eventueel via een cyber-risk verzekering (die dit tegenwoordig gewoon dekken). Ze helpen een paar dagen met het ontsleutelen van de bestanden en alles is weer up and running.

Dat de aanvallers waarschijnlijk nog steeds alle wachtwoorden van de omgeving hebben nemen we maar voor lief, knal er een mooie nieuwe firewall voor en we zijn veilig, toch? Nog even een persbericht de wereld in gooien, eventueel China of Rusland de schuld geven, en door met ons leven.

Ik zou willen dat ik dit verzon, maar dit is hoe het gaat. En als je mij niet op m'n woord wil geloven, kijk dan maar naar de Universiteit Maastricht case. Ik denk dat je dit verhaal bijna 1-op-1 daarop kan toepassen.

Overigens, ze noemen zelf nergens dat het een "gerichte" aanval zou zijn:

https://www.xfab.com/inde...tack_05Jul2020_ENG_01.pdf

Bender @Lord Thunder • 6 juli 2020 13:03

Gelekte credentials kun je volgens mij goed tegen beveiligen middels 2FA.

Mocht het een inside-job zijn is het een ander verhaal zijn, maar dan spreken we ook niet meer over gelekte credentials lijkt mij.

Lord Thunder @Bender • 6 juli 2020 18:29

Oke, 2FA is inderdaad een manier om het een stuk lastiger te maken.
(Hoewel ook daarbij X dagen niet meer vragen settings ook nog bestaan).

Mijn voornaamste insteek was eigenlijk: Als er mensen ergens bij kunnen, dan is het een gegeven dat ook iemand er bij kan waarvan het niet de bedoeling is. De vraag is alleen hoe groot is de kans en hoe lang duurt het om ergens binnen te komen. Hier in is 'hulp van binnenuit' een altijd bestaande factor omdat alle beveiliging hoe goed ook, ergens domweg afhankelijk is van 'mensen die te vertrouwen zijn'.

Het feit dat er iemand ergens binnen weet te komen wil dan ook niet zeggen dat de beveiliging 'dus slecht was'. Kans is natuurlijk zeer aanwezig, maar waar een wil is, is ook een weg.

Louis D 7 juli 2020 10:17

Beetje kort door de bocht dat het opgericht is door Roland Duchatelet:

X-Fab werd opgericht door Roland Duchâtelet, Rudi De Winter en Françoise Chombar.

Edit: ze hebben samen ook Melexis opgericht (die waarschijnlijk bekender is als X-Fab)

[Reactie gewijzigd door Louis D op 23 juli 2024 18:51]

Op dit item kan niet meer gereageerd worden.

Productie van chipfabrikant X-Fab ligt stil na gerichte cyberaanval

Lees meer

Reacties (20)

Sorteer op:

Weergave: