Hackergroep REvil eist aanval op energiegigant Invenergy op

Invenergy, een groot, multinationaal energiebedrijf, is getroffen door een cyberaanval. Het bedrijf zelf stelt dat er geen hinder aan ondervonden is en niets versleuteld is door ransomware, maar hackergroep REvil claimt 4TB aan 'gevoelige data' gestolen te hebben.

Volgens de Financial Times kwam Invenergy pas naar buiten met de informatie nadat REvil op zijn darkwebsite claimde dat het het bedrijf getroffen heeft. Invenergy stelt dat het 'onderzoek heeft ingesteld naar ongeautoriseerde activiteit op een deel van zijn informatiesystemen'. Daaruit zou blijken dat de operaties van het bedrijf niet geleden hebben onder de inbraak en dat niets versleuteld is. Invenergy zegt 'niet van plan te zijn om enig losgeld te betalen'.

REvil stelt dat het 4TB aan gegevens van het bedrijf in handen heeft. Die informatie zou projecten en contracten betreffen, maar ze zouden ook 'erg persoonlijke en pikante' informatie over Invenergy-ceo Michael Polsky in handen hebben, zoals persoonlijke e-mails, intieme foto's en informatie over zijn scheiding, uit 2007.

REvil was ook verantwoordelijk voor de hackaanval op een Amerikaanse vleesverwerker, die daardoor zo ontwricht was dat het 11 miljoen dollar aan losgeld betaalde. Mogelijk zaten ze ook achter de hack op Fujifilm, eerder deze maand. REvil, ook bekend als Sodinokibi, is al jaren een bekende naam op gebied van ransomware.

Invenergy is actief bij grote energieprojecten op het Amerikaanse continent, Europa en Azië. Volgens analisten is het bedrijf tien miljard dollar waard, zo schrijft Forbes.

Reacties (28)

Cogency 13 juni 2021 10:20

Wat is REvil voor een groep? Wat willen die, alleen geld, zieken of zit er nog een gedachte achter?

wildhagen

Ransomware
Networking en security

@Cogency • 13 juni 2021 10:24

REvil bied een dienst aan, Ransomware-as-a-Service (RaaS), waarbij je als klant dus een Ransomware-aanval op een gewenst target kunt 'bestellen', en zij voeren die dan uit, uiteraard tegen betaling van een deel van de met de ransomware behaalde winsten (die in de miljoenen per aanval kunnen lopen).

Dit is een flink groeiende bedrijfstak.Veel bedrijven betalen immers toch wel losgeld. De hoeveelheid werk voor de attack is vrij klein, je kan meerdere aanvallen per maand uitvoeren, en als één aanval al tonnen, of zelfs miljoenen oplevert, én de pakkans relatief klein is, is dit dus een lucratief businessmodel geworden.

Ze zijn actief sinds 2019, en vermoedelijk een off-spring van een eerdere ransomware-dienstverlener, GandCrab. O.a. de gebruikte code voor de attacks is grotendeels gelijk

Zie https://en.wikipedia.org/wiki/REvil

[Reactie gewijzigd door wildhagen op 27 juli 2024 10:38]

Verwijderd @wildhagen • 13 juni 2021 11:19

REvil voert geen hacks uit, je kunt hun software en infrastructuur gebruiken waarvoor ze een percentage van de opbrengst willen.

Je zult zelf het target moeten hacken, en de REvil software op het netwerk van je target installeren.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 10:38]

janbaarda @Verwijderd • 13 juni 2021 12:47

Waarom zou REvil (Russian Evil?) zelf deze diefstal van gegevens bekendmaken en zo zijn eigen klanten ondermijnen? Ik zie hier heel weinig logica.

Verder blijkt opnieuw dat veel grote bedrijven weinig doen voor een goede beveiliging.

LocoDenishr92 @janbaarda • 13 juni 2021 13:12

Waarom zou REvil (Russian Evil?)

Ransomware Evil... Niet Russian Evil.

Xander2 @LocoDenishr92 • 13 juni 2021 13:43

[...]

Ransomware Evil... Niet Russian Evil.

https://en.wikipedia.org/wiki/REvil#cite_note-3:

"It is difficult to pinpoint their exact location, but they are thought to be based in Russia due to the fact that the group does not target Russian organizations, or those in former Soviet-bloc countries"

janbaarda @LocoDenishr92 • 13 juni 2021 13:23

De logica van de actie werd betwijfeld. Het woordgrapje was om de routinematige aanname (Hacker = Russisch) aan de kaak te stellen. (overigens werd op NU.nl al wel meteen "Russische Hacker" aangegeven)

Daarnaast geef ik aan dat beveiliging een ondergeschoven kindje is.

Waarom meteen gemind?

theobril @janbaarda • 13 juni 2021 14:04

Omdat je niet kunt weten of bij dit specifieke bedrijf de veiligheid een ondergeschoven kindje was? Nog gekker, het heeft er de schijn van dat de operations van het bedrijf niet door de hack geschaad zijn, en de afpersmogelijkheden dus fors afgenomen zijn. En dat kan betekenen dat men de beveiliging juist wel op een goed niveau had. En dat maakt de opmerking "beveiliging is een ondergeschoven kindje" waarschijnlijk juist voor dit bedrijf niet helemaal terecht. Bovenstaande geldt al helemaal voor Janbaarda trouwens. Lekker generaliserende dingen roepen, altijd mooi.

janbaarda @theobril • 13 juni 2021 16:14

4TByte aan gevoelige data gestolen ... Dat duidt wel degelijk op slechte beveiliging. Je down load niet zomaar ongemerkt deze hoeveelheid gegevens. Daar is niks generaliserend aan. Er zijn legio, min of meer eenvoudige, manieren om dat te voorkomen.

theobril @janbaarda • 14 juni 2021 00:05

"4TByte aan gevoelige data gestolen ... Dat duidt wel degelijk op slechte beveiliging.." De boeven zeggen dat. U vindt boeven een betrouwbare bron van informatie?
Graag hoor ik onderbouwing uwerzijds

janbaarda @theobril • 14 juni 2021 01:38

Ik begrijp dat u zich in het dagelijks leven niet met beveiliging bezig houdt. Een eenvoudige afscherming met een firewall tussen "gebruiker activiteit" en "machine activiteit" , waarbij een data dump (b.v. backup) niet in de gebruiker omgeving kan komen is hiervoor voldoende. Ik zie een "boef" niet duizenden keren steeds een ander adres opvragen en als hij/zij dat wel deed dan moet toch na een keer of honderd een lampje bij de admin gaan branden ....

N.B. Het voorkomen van SQL injection is tegenwoordig toch wel routine.Dus dat kun je gevoegelijk uitsluiten ... tenzij de beveiliging echt knudde was.

[Reactie gewijzigd door janbaarda op 27 juli 2024 10:38]

Peran @ajolla • 14 juni 2021 11:07

Kan je dat onderbouwen?

Gevoelsmatig vertrouw nu.nl voor geen cent. Ik kan dat echter niet onderbouwen al heb ik nog niet mijn best gedaan.

veltnet @ajolla • 15 juni 2021 09:45

Nu.nl is tegenwoordig niet meer van Sanoma (of Sonera zoals jij ze noemt) maar van DPG, de persgroep.
Dezelfde club die eigenaar is van 90% van alle kranten in Nederland en Belgie.
Niet dat de kwaliteit daardoor is verbeterd, integendeel.

thomas_n @wildhagen • 13 juni 2021 17:45

Dienstverlener, klant, bedrijfstak, businessmodel, behaalde winst?

Het lijkt me niet verstandig dit soort criminaliteit zo te normaliseren door erover te praten alsof ze niet fundamenteel verschillen van de bedrijven die ze tot slachtoffer maken. Dat deze criminelen onder elkaar met opzet dit soort verduisterende terminologie gebruiken, is geen reden voor ons om dit taalgebruik over te nemen.

Alternatieve versie:

REvil is een criminele organisatie die in opdracht van hackers hun ransomware inzet om bedrijven te chanteren. De schade voor de slachtoffers kan in de miljoenen lopen.

Omdat de pakkans klein is en er snel veel geld buitgemaakt wordt, groeit deze vorm van criminaliteit hard.

REvil is sinds 2019 actief en komt vermoedelijk voort uit een eerdere criminele organisatie, GandCrab. De code die ze gebruiken om hun slachtoffers aan te vallen is grotendeels gelijk.

Leemeijer 13 juni 2021 11:20

Lijkt me een kwestie van tijd tot iemand besluit om in plaats van miljoenen losgeld, een miljoen of wat bounty (of drastischer), neer te tellen

klonic @Leemeijer • 13 juni 2021 11:56

Dat zou opzich wel een goed idee zijn ook.

Misschien zouden rewards programs voor ethische hackers ook verplicht moeten worden. Onder het mom van; is je cybersecurity niet goed dan betaal je x aan een ethische hacker of 100x aan staat. Als er klantgegevens worden buitgemaakt dan zouden klanten een standaard schadevergoeding koeten krijgen.

Ik zie in mijn werk dat bedrijven cybersecurity totaal niet serieus nemen.

dimitrios007 13 juni 2021 12:35

De naam doet mij denken aan resident evil haha ik dacht aan een nieuwe resident evil game van capcom die zij op de e3 tonen

Rudie_V 13 juni 2021 13:10

Het gaat dit soort groeperingen alleen maar om het geld, maar zou graag zien dat ze eens gevoelige informatie openbaren, bijvoorbeeld over contracten, milieuregels of hoe ze belasting ontwijken. De sappige informatie die eigenlijk niet meer door de beugel kan.

TheekAzzaBreek @Harm_H • 13 juni 2021 11:18

Is 'sleeper ransomware', die zich pas activeert na een paar maanden, en dus in de backup zit, zowieso niet te sterk? Dat je wel moet betalen?

Als de malware ongeactiveerd 'in de backups zit' zijn die backups dus nog gewoon leesbaar. Je moet alleen voorkomen dat de malware zich activeert na een restore. Meestal is het genoeg om te zorgen dat de command and control servers niet bereikt kunnen worden.

wildhagen

Ransomware
Networking en security

@TheekAzzaBreek • 13 juni 2021 11:22

Meestal is het genoeg om te zorgen dat de command and control servers niet bereikt kunnen worden.

Vaak wel, maar helaas zie je steeds meer ransomware waar de acties pre-loaded zijn, en dus geen C&C servers meer nodig zijn voor het functioneren ervan. Een combinatie ervan komt ook voor, dat het dus deels preloaded is, maar dat er ook een optie is voor nieuwe opdrachten middels C&C-servers.

Weet niet of dat bij bij de Ransomware-as-a-Service van REvil ook zo is overigens, is meer algemeen bedoeld.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (28)

Sorteer op:

Weergave: