Foxconn bevestigt getroffen te zijn door ransomware

Techproductiebedrijf Foxconn heeft publiekelijk bevestigd getroffen te zijn door ransomware. De infectie vond op 29 november plaats en trof een 'informatiesysteem' dat wordt gebruikt voor werkzaamheden in Amerika. Criminelen eisen 34 miljoen dollar losgeld.

BleepingComputer publiceerde maandag al een artikel waarin werd geclaimd dat Foxconn is getroffen door de DoppelPaymer-ransomware. Inmiddels heeft de producent de cyberaanval publiekelijk bevestigd in een korte statement, waarin de producent meldt dat een 'informatiesysteem' dat invloed heeft op de werkzaamheden in Noord- en Zuid-Amerika is getroffen. BleepingComputer meldt daarbij dat het gaat om een productiefaciliteit in Mexico. Foxconn bevestigt verder dat de daders ongeveer 1804 bitcoins aan losgeld eisen, wat omgerekend neerkomt op zo'n 34 miljoen dollar.

De aanvallers claimden maandag tegenover BleepingComputer ongeveer 1200 tot 1400 servers versleuteld te hebben. Ze stellen daarbij dat ze 100GB aan onversleutelde bestanden hebben gestolen en 20 tot 30TB aan backups hebben verwijderd.

De criminelen achter de DoppelPaymer-ransomware zouden inmiddels ook gestolen bestanden hebben gepubliceerd op een eigen website. Daaronder zouden voornamelijk bedrijfsdocumenten vallen. Persoonsgegevens van medewerkers of financiële documenten zijn vooralsnog niet uitgelekt.

Tegenover Reuters meldt Foxconn dat de cyberaanval slechts een beperkte impact op de bedrijfsvoering gehad hebben. Het systeem in kwestie wordt momenteel 'grondig geïnspecteerd' en gefaseerd terug in werking gesteld. Verdere details over de cyberaanval worden nog niet gedeeld, maar de fabrikant zegt samen te werken met 'autoriteiten en technische experts' om de verantwoordelijken te identificeren.

Door Daan van Monsjou

Redacteur

09-12-2020 • 20:59

43 Linkedin

Submitter: x86dev

Reacties (43)

Wijzig sortering
Misschien vreemde vraag, maar hoe komen dit soort criminelen met dit soort dingen dan weg? Als je 34 miljoen van een bedrijf steelt dan zal er toch wel een spoor zichbaar zijn van waar en hoe, ook al worden bitcoins gebruikt?
Geen vreemde vraag, het is een werkwijze die wat geraffineerder is dan dat van reguliere munteenheden.

Bitcoins zijn te volgen, de blockchain is openbaar, de rekeningen zijn daarentegen wel anoniem. Door een mixer in te zetten kan een crimineel vrij eenvoudig en goedkoop (de kosten druk je in dit geval uit in percentages) de bitcoins 'witwassen'. Het gehele bedrag wordt dan in stukjes gehakt en over verschillende geautomatiseerde rekeningen verdeeld, die deze bedragen op hun beurt weer in stukjes hakken en in fases doorsturen naar andere rekeningen. Gedurende een X periode wordt het bedrag gemaskeerd door het in stukjes te blijven hakken en over een langere periode uit te blijven wisselen. Aangezien er meerdere mensen gebruik maken van deze dienst, word het al snel lastig om het te traceren.

Maar er zitten een aantal inherente zwaktes in het systeem: ten eerste, een dergelijke dienst moet administratie bijhouden om te zorgen dat de bedragen bij de juiste personen terecht komen, dus voor de duur van het mixen mag je hopen dat die informatie niet lekt.
Ten tweede, omdat het eigenlijk alleen maar door criminelen wordt gebruikt maak je jezelf bij voorbaat al verdacht, beter nog, omdat hier bijna alleen crimineel geld in omgaat kan je er eigenlijk vanuit gaan dat je wel een aantal keer onder de loep word genomen in verband met onderzoeken naar andere mensen.

Ook zal er niet gewacht worden met het omzetten naar andere valuta, maar gelijk geïnvesteerd worden in andere zaken. Als het goed gebeurd dan wordt het voor de onderzoekers in het gunstigste (en meest uitzonderlijke) geval pas op het moment dat het mixen achter de rug is duidelijk waar het geld is gebleven. En dan moet het geld al in andere zaken zitten.

Dus 34 miljoen zal in hun geval waarschijnlijk over een periode van X jaar pas echt liquide zijn. Tenzij ze het gelijk uitgeven aan nieuwe zerodays natuurlijk, dat is een investering voor een nieuwe aanval waar potentieel meer te halen valt. Daarom is betalen, hoe lullig ook voor je bedrijf, echt not done.

[Reactie gewijzigd door nst6ldr op 9 december 2020 22:20]

Daarom is cryptocurrency gebruiken eigenlijk not done.
Zonder liquiditeit in die markt blijven de coins namelijk alleen maar bitreeksen.
Beetje makkelijk gezegd, de meeste fraude en witwassen gebeurt nog steeds onder de banken, daar komt crypto currency niet eens van in de buurt. Voorbeeld, deze week wordt voormalig topman van ING strafrechtelijk vervolgd.

Bij de banken spreken we in de orde van miljarden, bij crypto currency misschien miljoenen.
Je hebt gelijk en ongelijk.
Er wordt nog steeds witgewassen via banken en dat zijn nog steeds aardige bedragen, al doen banken doen tegenwoordig heel veel aan witwasbestrijding, daar werken duizenden medewerkers op anti-witwasafdelingen.
Die vervolging waar jij het over hebt gaat over (een milieu van) witwaspraktijken waardoor banken tegenwoordig juist zoveel moeten doen tegen witwassen.

En of het bij crypto over miljoenen gaat. Ik vermoed dat je je daar flink op verkijkt.
Bitcoin alleen al is 160 miljard waard. Ik denk dat het veilig is om te stellen het dat daar over een aanzienlijk percentage over zwart geld gaat. Niet alleen criminelen, maar ook gewone mensen die het bedoeld of onbedoeld niet opgeven bij de belastingdienst.

[Reactie gewijzigd door anandus op 10 december 2020 08:12]

Al doen de banken heel wat om witwassen tegen te gaan?
ING is op de vingers getikt omdat het herhaaldelijk blijft witwassen. Bank fraude is iets wat al meerdere decennia gebeurd.
Wirecard schandaal was 24 Miljard. Dit is 1 bank. Dit zijn voorbeelden van het afgelopen jaar. Hoeveel bewijs heb je nodig voordat je ziet dat het totaal niet op dezelfde schaal gebeurt.
Bitcoin ter info is het dubbele waard, namelijk 332 Miljard dollar.
Ik denk dat het veilig is om te stellen het dat daar over een aanzienlijk percentage over zwart geld gaat.
En waar is dit bewijs? Omdat een crimineel een vergoeding vraagt in BTC is het alleen maar zwart geld?
Het KYC/AML beleid bij een crypto exchange is veel zwaarder dan bij een bank.

De bedoeling van bitcoin is niet geld te ontduiken, de bedoeling is om controle over je eigen geld te krijgen.
In dit ene geval al een eis van 34 miljoen, dis het is zeker in de miljoenen.
Maar zie je ook het verschil: banken zelf moeten maatregelen nemen en worden aangepakt, en degenen die handelen via banken ook. Er is dus een pakkans.
Het spoor is zelfs publiekelijk te volgen....
Hoe gaan ze dit dan ooit witwassen?
Met een crypto scrambler.
En zelfs dat geeft natuurlijk geen optimale bescherming.
Splits het op, stuur naar verschillende accounts of verschillende exchanges die geen KYC/AML hebben, ruil het om naar Monero, withdraw, klaar.
Heel veel exchanges accepteren geen flagged crypto valuta ...
En hoe ver gaan deze exchanges daarin? Gaat het om flagged adressen of runnen zij ook chain analysis software om te kijken of the viavia van een flagged adres komt?
De grote jongens doen er in ieder geval niet aan mee. BTC en andere crypto kan geflagged worden.
Met name na de honderden hacks op oa Exchanges de afgelopen 5 jaar zorgde ervoor dat dmv flagging er track kan worden gehouden op crypto en dat het uitcashen of omzetten veel moeilijker wordt.
Is dat per muntje bepaald? Stel ik koop/krijg 1 bitcoin (of een deel ervan) van iemand en wil die wegzetten bij een exchange. Kan ik die dan niet toevoegen aan mijn wallet daar of krijg je dan een error met dat die 'munt' besmet is?

[Reactie gewijzigd door jdh009 op 10 december 2020 14:10]

Het is vrij complex.

"Why criminals can't hide behind Bitcoin | Science | AAAS" https://www.sciencemag.or...-cant-hide-behind-bitcoin

Zoek op " hoe do I know bitcoins that I am buying otc"
Dan vind je een Redit artikel met goede informatie.
Ik kon hem helaas niet linken.

Je ziet dus wel dat het niet waterdicht is en dat het 2 kanten op werkt.
Als je het beetje bij beetje door een mixer heen voert zie ik niet hoe de FBI or wie dan ook het kan volgen.
Tot nu toe worden de mensen gepakt omdat ze ergens anders fouten maken, niet omdat de bitcoins getraceerd worden.
Kon me herinneren bij een vorig artikel (in de comment) dat dit met zulke bedragen toch lastiger kan zijn dan gedacht. Helaas kan ik het nu niet terugvinden maar daar posten iemand een interactieve flowchart van verschillende grote exchange hacks, hoe het rondgestuurd werd en in welke wallets het nu geparkeerd staat. Al denk ik wel dat het afromen van een paar duizend k geen probleem zou moeten zijn op zulke bedragen.

[Reactie gewijzigd door jdh009 op 9 december 2020 22:42]

Ja 36 miljoen aan Bitcoin maakt het niet makkelijker nee.. bij zulke bedragen werken coin tumblers ook niet meer. Tegelijkertijd wordt er zowat dagelijks voor miljoenen opgelicht met ICO's/Presales en dat gaat allemaal zo snel en makkelijk dat er bijna niks tegen te doen is (ja niet ergens zomaar geld in stoppen natuurlijk).
Je kunt het wel volgen, maar ik zou zomaar van een crimineel bitcoins kunnen kopen, zonder dat ik dat weet.

Een crimineel kan ook gewoon met gestolen geld een visje kopen op de markt.
Kennelijk is het spoor makkelijk te verbergen, anders vroegen afpersers nog steeds om een koffertje bankbiljetten of zo. The proof is in the pudding.
Met een beetje kennis en creativiteit is het redelijk makkelijk bitcoins wit te wassen. Denk bijvoorbeeld aan decentralized exchanges, online casino's en kleinere exchanges. Gewoon kwestie van verschillende wallets te gebruiken en beetje per beetje.
er is geen 34 miljoen gestolen, ze eisen 34 miljoen losgeld (in bitcoins)
Echt mensen leer het nu eens. Thuis werken doe je niet op je eigen computer en thuis is MFA geen lastige verplichting maar pure noodzakelijkheid , Ja ook op je vpn en Windows login
Cybercrime intelligence company Hudson Rock claims to have identified a Foxconn employee who had their device compromised as part of a global malware campaign. The employee in question allegedly had login credentials for the company’s VPN and internal network.
https://www.securityweek....s-us-targeted-cyberattack

[Reactie gewijzigd door xbeam op 10 december 2020 00:08]

Thuis werken doe je niet op je eigen computer
De betreffende tweet:
We were able to identify a Foxconn employee who had his machine compromised in a global malware spreading campaign.
Daaruit valt het eigendom en beheer van de betreffende machine niet op te maken.
Nee, maar wel dat hij hem zonder vpn heeft gebruikt voor waarschijnlijk niet zakelijk gebruik.
Als er multifactor authenticatie voor de vpn en windows login was gebruikt dan was het waarschijnlijk niet mogelijk / lastiger geweest.

[Reactie gewijzigd door xbeam op 10 december 2020 00:27]

Of het had niks uitgemaakt als er een bestaande verbinding was en die gewoon gebruikt werd voor entry. Dan kan je zo veel MFA gebruiken als je maar wil, dat misbruikt gebeurt gewoon nog steeds. Er staat ook niks over een VPN verbinding die vanaf een aanvaller gelegd werd; alleen maar dat de gebruiker die wel had.
Klop, maar zoals @groene henk ook al zegt waneer deze gebruiker dit systeem alleen via de zakelijk vpn en dus achter de beveiliging zoals firewall, ssl dpi inspectie ,dns proxy/sandboxes/sinkhole en filter zat dan was de maleware infectie er zeer waarschijnlijk vroegtijdig uitgefilterd omdat er bij goede beveiliging geen toegang was geweest tot malicious or unknown en C2 domains en ip’s

Bijna alle serieuze firewall / security vendors voor dit soort grote bedrijven geven alleen toegang to bekende / veilige domeinen. Onbekende domeinen en ip’s worden standaard geblokkeerd totdat ze door de virus leverancier zijn geïnspecteerd. Ook worden dubieuze en bekende command en control domeinen altijd geblokkeerd en sites op twijfel achtige hosting gesandboxed voordat ze worden doorgegeven.

Of nog beter juist helemaal niet via vpn. Dan konden ze ook niet via de vpn op het trusted netwerk komen en dat rustig doorzoeken. Als alle deze gebruiker via een web app met mfa werken( zero trust ) dan zijn de besmet computer een minder groot probleem zonder mfa hebben ze nergens toe zonder dat de gebruiker dit zelf fysieke moeten verifiëren. En laat hij dan de browser open staan dan kunnen ze alleen bij de data van de app die open staat en bij verlopen TTL niet zonder tussen komst van de werknemer de verbinding herstellen. En als het dan over vpn moet kan heeft de hacker met vpn-mfa bij overschrijding van TTL ook een probleem.

Het probleem is dat de thuiswerkers gehacked wordt via zijn thuis netwerk en dan als proxy gebruikt wordt om het bedrijf te hacken.

[Reactie gewijzigd door xbeam op 10 december 2020 00:23]

Bijna alle serieuze firewalls / security vendors voor dit soort bedrijven geven alleen toegang to bekende / veilige domeinen. Onbekende domein worden standaard geblokkeerd tot ze een virus leverancier zijn geïnspecteerd ook worden na inspectie dubieuze domeinen altijd gesandboxed voor ze worden doorgegeven.
Jep, daarom hosten de criminelen phishing documents steeds vaker simpelweg op iemand anders z'n compromised en legitimate Office 365-omgeving (of op dropbox, mega, whatever)

edit: je bedoelt het C2-verkeer daarna, dat zou standaard geblocked moeten worden, begrijp ik nu. Klopt, maar dat is ook lastig, zeker als dat weer in AWS draait bijv.

[Reactie gewijzigd door DeMoN op 9 december 2020 23:35]

En ook thuisgebruikers niet meer gebruik laten maken van VPNs!

Alles VPN providers hadden CVEs in de laatste 2 jaar dus gewoon de openbare scanlijstjes van het internet af met alle VPNs met daarbij welke CVE niet gepatcht is en hacken maar!

Maar hier is er dus door een gehackte user met VPN toegang welke wel misschien alle patches had ineens het hele netwerk beschikbaar.
Daarna hebben ze het hele netwerk afgestruind.

Hoe is user dan gehackt? Ook heel simpel: bij thuisgebruik en thuiswerk gaan de meeste gebruikers liever direct naar het internet en niet via de veilige proxy van de zaak (is langzaam).
Ook bij veel thuiswerkers mogen Pac files en security proxy clients uitgezet en DNS servers overgeslagen worden. Vervolgens mag er met dezelfde werkpc naar de werk app worden gegaan via de VPN.

En dan nog niet te spreken over bedrijven die SSL/TLS verkeer niet inspecteren op threats terwijl dat meer dan 80% van het internet verkeer bedraagt.

Ik kan nog wel veel meer bedenken, maar de security afdeling heeft in dit geval gewoon geen goede preventie gedaan.
Echt mensen leer het nu eens. Thuis werken doe je niet op je eigen computer en thuis is MFA geen lastige verplichting maar pure noodzakelijkheid , Ja ook op je vpn en Windows login
Dat ligt er maar helemaal aan. Bij ons werken we gewoon wel thuis op onze eigen machines. Echter de verbinding wordt geregeld met een afgeschermde USB-stick. Dus wat er effectief wordt gebruikt van je eigen PC is het geheugen en de processor. Booten wordt gedaan vanaf de USB-stick.
Hoe kunnen backups verwijderd worden? Dit hoort toch write only te zijn?
Dan kan je die files nog steeds encrypten als het write only is. Probleem is waarschijnlijk geen offline backups.
Misschien verwar je Foxconn met Fox-IT. Foxconn is een grote Chinese producent voor onder andere Apple. Geen beveiligingsbedrijf.
Bijna goed: Taiwanees.

Apple is maar een puntje van de taart. HP, Dell, Samsung, LG, Microsoft, Sony zijn ook klanten van ze.
Foxxcon is assemblage fabriek. Geen netwerkbeveiligings bedrijf
https://nl.m.wikipedia.org/wiki/Foxconn

[Reactie gewijzigd door xbeam op 9 december 2020 21:29]

Foxconn is een fabrikant van computeronderdelen en grote toeleverancier voor Apple. Niet specifiek een beveiligingsbedrijf. Ben je in de war met Fox-It?
tamelijk opvallend dat bijna niemand het bericht goed leest voordat er een reactie wordt geplaatst :>
Je zit op een van de oudste IT en van oudsher de nerdy tech sites van het land, Misschien zijn er, ik verwacht het wel. tweakers aanwezig die (zulke )bedrijven beveiligingen en er hopelijk ook echts iets over weten.

Ik vind in het algemeen de reacties onder de onderwerpen altijd heel leerzaam

[Reactie gewijzigd door xbeam op 10 december 2020 00:26]

Ik vind in het algemeen de reacties onder de onderwerpen altijd heel leerzaam
Inderdaad, ik ook

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee