Nederlands vaccinbedrijf door ransomware getroffen, data op darkweb gepubliceerd

Het Nederlandse vaccinbedrijf Bilthoven Biologicals is in september getroffen door een ransomwareaanval van de cybercriminelengroep Blackcat, zo heeft RTL Nieuws ontdekt. Bij de aanval zou uiteenlopende data buitgemaakt zijn, waarvan nu een deel op het darkweb is gepubliceerd.

VaccinBlackcat meldt tegenover het medium dat er onder meer 'informatie over vaccins, wetenschappelijk onderzoek, e-mails en documenten' bij de aanval gestolen zijn, maar verzekert dat 'de meeste informatie niet gepubliceerd wordt'. Bilthoven Biologicals ontwikkelt onder meer vaccins tegen blaaskanker, polio, difterie en tetanus.

Volgens het bedrijf is er slechts een klein deel van de data van het bedrijf gestolen, maar omdat er mogelijk ook persoonsgegevens verduisterd zijn, is er een melding bij de Autoriteit Persoonsgegevens gemaakt. Dit proces is in zo'n situatie verplicht in Nederland. Een cybersecuritybedrijf dat onderzoek doet naar de aanval in opdracht van het bedrijf bereidt een aangifte voor. Het is niet publiekelijk gemaakt of de cybercriminelen betaald zijn en welke informatie er precies op het darkweb is gepubliceerd.

Door Yannick Spinner

Redacteur

11-11-2022 • 19:13

48

Reacties (48)

48
46
25
1
0
17
Wijzig sortering
...maar verzekert dat 'de meeste informatie niet gepubliceerd wordt'
Klinkt alsof ze betaald hebben.

Maar je hebt geen enkele garantie dat de data niet alsnog wordt gepubliceerd. Dus raar dat ze dit "verzekeren".
Publiceren misschien niet, daar richt je alleen imagoschade mee aan. Het is lucratiever om enerzijds te verdienen met afpersing, en anderzijds met bedrijfsspionage (lees: doorverkopen aan concurrentie). Dan hou je een redelijke basis voor ontkenning en het levert vaak nog wat leuks op.
Er zullen niet veel bedrijven zijn die hun vingers willen branden aan heling.
Integendeel, bedrijfsspionage is niet landgebonden (zo is bijvoorbeeld ASML interessant voor landen waar we niet kunnen vervolgen) en juist met een ervaren middleman is het überhaupt lastig te traceren wat er met de bestanden gebeurd.
ASML zet dan ook enorm zwaar in om dit te voorkomen. Een reden dat ze ook nog met bijvoorbeeld China zaken doen. Je kunt de materie dan nogwel copieren of stelen, maar dat wil niet perse zeggen dat je het ook zelf kan toepassen.
Hier in het westen misschien niet, maar in China is het stelen van intellectueel eigendom de normaalste zaak van de wereld.
Als ze betaald hebben, is de kans klein dat er nog data zal gelekt worden. Vele mensen komen met die claim, maar er zijn niet veel voorbeelden bekend waarbij een groep na het betalen alsnog de data op het net heeft gezet.
Nee eigenlijk vrijwel geen. Logisch ook, want dat zou het hele businessmodel (en ja deze groeperingen runnen daadwerkelijk complete bedrijven) om zeep helpen.

De reden dat bedrijven nu daadwerkelijk betalen is ook dat ze daadwerkelijk verder kunnen met hun bedrijf en ze ook de data niet verder publiceren. Doen ze dat wel dan hebben bedrijven geen incentive meer om wel te betalen.


TL;DR: afpersing werkt gewoon.
Wanneer dit soort criminelen hun beloftes niet nakomen na betaling, dan zullen andere "klanten" in de toekomst minder geneigd zijn om ook te betalen. Oftewel, een crimineel heeft ook een reputatie hoog te houden.
Noem dan maar op hoe jou redenering op gaat bij de genoemde stelling en conclusie van @Loggedinasroot.
Dat moge toch duidelijk zijn? Het bedrijf gaat ervan uit dat de meeste data niet gepubliceerd wordt, wat insinueert dat er betaald is met de belofte dat de data niet verder gepubliceerd wordt (wat uiteraard nooit zeker te weten is), maar wanneer die criminelen dit dan tóch zouden doen, dan snijden ze zich in hun eigen vingers bij de volgende "klant" die ze op deze manier af willen persen.
Je kan niet zowel 'uiteraard geen zekerheid' hebben en doen alsof er een goede reputatie is. Zeker niet om dat dan van criminelen te vinden die hoe dan ook al het slechte met je voor hebben door gegevens opzettelijk te beschadigen, gegevens te stelen, je bedrijf te beschadigen, afpersing te doen en hoe dan ook zelf uit zijn op geld en andere gewin. Dat klinkt namelijk als wensen dat toch wel mee valt, om het betalen en steunen van criminelen goed te praten.

[Reactie gewijzigd door kodak op 23 juli 2024 21:59]

Ik wil het criminele gedrag niet goedpraten. Het is echter verdraaid lastig om als bedrijf te besluiten of je wel of niet betaalt. Wel betalen betekent dat je hopelijk je data terugkrijgt en er verder hopelijk niks uitlekt. Niet betalen betekent heel veel werk om de data weer vanaf backups terug te krijgen (als er backups zijn) en vaak zijn de kosten die je dan maakt een veelvoud van het bedrag dat je aan de criminelen had moeten betalen. De vraag is dan of jouw onderneming dit aan kan. Ja, je kunt je ervoor verzekeren. Mijn vrouw werkt bij zo'n verzekeraar die cybersecurity verzekering afsluit. Zij heeft laatst een vergadering gehad waar werd medegedeeld dat het de spuigaten uitloopt met ransomware betalingen en daarom de premies skyhigh gaan. Ja, je kunt je ervoor verzekeren, maar trek daarvoor ook maar flink je portemonnee.

En om even een indicatie te geven wat het zoal zou kunnen kosten wanneer je besluit om niet aan die dieven te betalen, heb je hier een "leuk" artikel van een garagehouder uit Zutphen die besloot om niet te betalen. In 2019 werd hij slachtoffer van ransomware en of hij even 6000 dollar aan cryptocoins wilde betalen. Hij besloot na een korte onderhandeling om niet te betalen. Kijk maar even naar het artikel hoeveel dit geintje hem uiteindelijk heeft gekost...

Zoals zovelen zou ook mijn eerste reactie zijn: nooit betalen. Maar soms heb je die keus gewoon niet.

Nog een voorbeeldje. Er was een bedrijf in de VS dat gehackt werd. De aanvaller heeft de SQL database versleuteld, maar de decryption key op een website geplaatst. De database kon daardoor gewoon gebruikt worden. Na 6 maanden heeft de crimineel die key weggehaald, waardoor de database opeens versleuteld bleek. Geen probleem, dacht het bedrijf, dan zetten we een backup van gisteren terug. Oh, versleuteld. Van eergisteren? Versleuteld. Week backup? Versleuteld. Maand backup? Versleuteld.
Een bedrijf dat hiermee 6 maanden aan data kwijtraakt, zou gewoon de deuren moeten sluiten. Dus wat kies je: de crimineel betalen met de hoop om je bedrijf voort te kunnen zetten of niet betalen en al jouw medewerkers vertellen dat ze bij de Overheid hun handje op mogen houden. Aan jou de keus.

Nog een voorbeeld. Terug hacken. Er was eens een bedrijf (ja, die bestaat dus niet meer), genaamd Code Spaces. Zij boden een fantastische dienst aan: developers konden hun source code veilig en vertrouwd opslaan bij Code Spaces (in AWS). Dit was inclusief online backups, alles. Toen kwam er een hacker die zich toegang wist te verschaffen tot het EC2 panel van hun AWS tenant. Hierop volgde een blackmail. Maar Code Spaces zou Code Spaces niet zijn zonder terug te vechten, dus probeerden zij niet te betalen en de controle weer over te nemen. Dat is ook gelukt, maar niet voordat de hacker alle data, online buckets en backups heeft verwijderd. Schier alle data was weg. Code Spaces kon van de ene op de andere dag zijn deuren sluiten.

Het is gemakkelijk gezegd dat niemand moet gaan betalen, maar de praktijk is vaak toch heel anders.

[Reactie gewijzigd door musiman op 23 juli 2024 21:59]

De discussie was je bewering over reputatie. Maar die bewering is duidelijk niet gebaseerd op wat reputatie valt te noemen en is een bedenksel om iets heel anders te willen: dat het bedenksel van een reputatie het betalen van criminelen en hun onethische criminele gedrag voor legitimeert. Het aanpraten dat er 'reputatie' is om te betalen en al dit soort criminele acties maar reputatie noemen is verwerpelijk.
Dat mag jij dan verwerpelijk vinden, maar dat is wel hoe hier naar gekeken wordt. En ja, ik vind het ook vreselijk. Van mij zou dit soort criminelen zeer zwaar gestraft mogen worden (mochten ze ooit gepakt worden).
Er wordt onder andere zo naar gekeken omdat er personen zijn die zelf beginnen alsof er 'reputatie' is. Ik lees tot nu toe niemand die over dit soort 'reputatie' begint ooit duidelijk maken waarom het redelijk is er van te spreken of zelfs te onderbouwen dat het een redelijke aanname is door de kanten die de zogenaamde reputatie tegenspreken weg te laten. Het slachtoffer uit het nieuws lijkt zo te lezen niet te stellen dat de term relevant is.
Interessant, maar misschien zou ik ook liever 50k schade accepteren dan 6k aan criminelen betalen.
Als je je dat kunt veroorloven, prima. Maar niet ieder bedrijf kan een factor 9 of 10 meer geld spenderen aan het herstellen van een ransomware aanval, in plaats van het veel lagere bedrag te betalen.

En ja, ook ik zou dat "liever" willen. Ik gun criminelen nog geen cent.
Andere optie: de meeste data is niet gestolen, ergo, wordt niet gepubliceerd.
Amper, het staat een crimineel vrij om onder een nieuwe naam door te gaan als het imago een probleem word. Aangezien het gros van de ransomware aangekochte componenten zijn is het lastig om betrouwbaar onderscheid te maken.
Dat geldt toch wel voor bepaalde groepen die in teamverband werken.

Even een paar voorbeelden.

In dit artikel staat bijvoorbeeld:
These ransomware gangs are increasingly becoming more sophisticated, not just in terms of business models but in posturing as corporate entities while simultaneously making extortion demands. These crusaders of crime are trying to gain acceptance as legitimate enterprises, and they're starting to operate as such, coordinating efforts with various partners, offering 24/7 help desks staffed by representatives even branding themselves to hype reputation.
In dit artikel wordt dieper ingegaan op de reputatie die deze criminelen opbouwen. Een klein stukje hier uit:
A criminal’s ability to make money from ransomware critically depends on victims believing that the criminal will honour ransom payments. In this paper we explore the extent to which a criminal can build trust through reputation. We demonstrate that there are situations in which it is optimal for the criminal to always return the files and situations in which it is not. We argue that the ability to build reputation will depend on how victims distinguish between different ransomware strands. If ransomware is to survive as a long term revenue source for criminals then they need to find ways of building a good reputation.
Je leest het te optimistisch: hier staat letterlijk dat het dus lang niet altijd lucratief hoeft te zijn voor de crimineel om de bestanden te retourneren. Zonder kaders van de wet is het lucratief om de bestanden te koop aan te bieden bij concurrenten, die op hun beurt uiteraard niet te koop lopen met een dergelijke transactie. Daar merkt een slachtoffer niks van, die is allang blij dat het bedrijf weer draait.
Ik denk niet dat een concurrent uit een (ander) westers land zomaar deze hoogst illegale informatie zou kopen. Het zal dan zichzelf chantabel maken, de criminelen kunnen dan weer gaan dreigen met publikaties dat 'de concurrent' de info gekocht heeft.
De wat minder gereguleerde landen, zoals China zou wel een afzetmarkt kunnen zijn.

[Reactie gewijzigd door Madshark op 23 juli 2024 21:59]

Ik denk dat je er eerder vanuit moet gaan dat 100% van alle top bedrijven in de westerse landen over illegale informatie beschikken en illegale, al dan niet uitermate grijs achtige zaken uitvoeren. Anders was het niet zo'n bedrijf geworden. Ik denk dat we daar ook niet schijnheilig over hoeven te doen dat zoiets een feit is.
Bedrijfsspionage is zeker wel een bestaand iets. Ik doelde eigenlijk meer op, dat een (westers) bedrijf zich niet durft te branden aan de informatie van een crimineel, want het maakt dan zichzelf chantabel.

Stel (random voorbeeld) Nestle kan een geheim koffie recept kopen dat uit een ransom van D.E. is verkregen, betalen daar 250k voor en kunnen hierdoor een beter concurrerend product uitbrengen. Het product is een succes, de omzet schiet omhoog, de aandeelhouders hebben een feestje.
De crimineel zal dan op een moment achteraf wel eens 50miljoen kunnen eisen, omdat ze anders alle bewijsstukken zullen publiceren dat Nestle zich schuldig gemaakt heeft aan concurrentie vervalsing. En daar al het niet bij blijven, dat zal blijven achtervolgen, zo werkt chantage namelijk.

Ik denk niet dat een westers bedrijf zich durft te branden aan het handelen met een ransom bende dat totaal geen normen en fatsoen kent.

[Reactie gewijzigd door Madshark op 23 juli 2024 21:59]

Ik denk niet dat een westers bedrijf zich durft te branden aan het handelen met een ransom bende dat totaal geen normen en fatsoen kent.
Dat is gewoon kwestie van een stroman op de goede plek neer te zetten, en hier is de reputatie van de ransom-ware bende nog belangrijker.
Ik zou daar niet zo zeker van zijn. Er zijn meer dan genoeg mogelijkheden om die data aan te kopen zonder dat het in de boekhouding komt.
Het hoeft ook helemaal niet in de boekhouding te komen om een liability te zijn.

Zolang ransomware bende X na een stijging in revenue aangeeft “ze hebben de gestolen data van concurrent X gekocht” ook al is het niet eens waar, ben je al de klos, laat staan als het wel waar is.
nieuwe naam is nieuwe reputatie,

je hebt als afperser denk ik met 2 belangrijke variabelen te maken.
1: gelooft men in je claim ...
2: vertrouwt men op je belofte na betaling.

men moet dus 'bang' genoeg zijn om te denken dat je niet bluft, maar tegelijk genoeg vertrouwen hebben dat de schade nog in te dammen valt..

dus elke keer dat je een nieuwe naam begint moet je eerst x aantal hacks uitvoeren, de data publiceren en in het nieuws komen (naam opbouwen), en daarna moet je een partij vinden die zo ontzettend wanhopig is dat we wel 'moeten' betalen om iets van reputatie op te gaan bouwen over de manier waarop je onderhandelt.

ik lees dan ook nog van die mensen die 'slim denken te zijn' en beweren dat je als hacker wel van 2 walletjes kunt eten, laat me voorop stellen dat ik niet in die wereld zit en dus nooit precies weet hoe deze mensen denken... ik weet echter wel redelijk goed hoe bedrijven denken...

zodra je eenmaal slachtoffer bent geweest van data diefstal kun je er 100% vanuit gaan dat bedrijven een hele lange tijd ontzettend waakzaam (paranoia) gaan zijn richting concurenten. - denk maar niet dat bedrijven er met hun blauwe ogen vanuit gaan dat 'ze nu betaald hebben en dat alles veilig is' ze betalen ook niet omdat ze zeker zijn dat de problemen daarmee zijn verdwenen ze betalen omdat ze op dat moment niet anders kunnen... ik denk daarom dat het ronduit naief is om ervanuit te gaan dat er bedrijven zien die niet angstvallig aan het rondkijken zijn op zoek naar spionage / gestolen ideeën

dit nog bovenop wat hierboven al stond
Als de algehele kans op teruggeven en niet publiceren van de data in het algeheel afneemt. Dan zal de afweging om niet te betalen aantrekkelijker worden ongeacht de specifieke ransomware groep
Bor Coördinator Frontpage Admins / FP Powermod @nst6ldr12 november 2022 10:34
Onder een nieuwe naam doorgaan kan en dat gebeurt ook maar toch is het met regelmaat duidelijk welke groepering (of deel ervan) het eerst betrof.
Het kan. Maar net als met niet zeker weten of ze gegevens echt verder niet gebruiken klinkt dat nog steeds niet als redelijke uitgangspunten om die criminelen dan maar te willen vertrouwen en ondersteunen met geld. Doe je dar als slachtoffer wel dan laat het zien dat het die criminelen dus te doen is om jou in hun macht te hebben ze zelfs liever te willen vertrouwen dan afstand te nemen van hun meervoudige criminele gedrag en reputatie door niet met ze te maken willen hebben.
Voor zover ik weet is er helemaal niets betaald en is de dataset op internet gewoon onderdeel van het proces. Tijdens zo'n aanval wordt er nou eenmaal data gestolen en die staat nu online.
Volgens het bedrijf is er slechts een klein deel van de data van het bedrijf gestolen, maar omdat er mogelijk ook persoonsgegevens verduisterd zijn, is er een melding bij de Autoriteit Persoonsgegevens gemaakt. Dit proces is in zo'n situatie verplicht in Nederland.

Dus als er geen persoonsgegevens zouden zijn gelekt had niemand er wat van gehoord?!
Klopt, je hoort toch ook niet van elke diefstal uit een winkel iets?
Met het verschil dat je wettelijk verplicht bent datalekken te melden en diefstallen niet.
als het persoonsgegevens zijn... anders niet toch?
Je bent wel degelijk verplicht melding te maken als een dief de archiefkast met persoonsgegevens leeg rooft. Dat geen enkel bedrijf meer een archiefkast met persoonsgegevens heeft staan is een tweede.
klopt, dan was het een zaak geweest van afpersing of bedrijfsspionage en dus een zuiver privaatrechtelijke kwestie (tenzij het OM een dader verdachte vindt.

Het nieuws is hier dan ook, dat mensen hun prive-gegevens (of medische gegevens) in gevaar zouden kunnen zijn... wat maatschappelijk gezien natuurlijk veel erger is dan de bedrijfsgeheimen van een kleine farmaceut
Nee, want rtl-nieuws heeft contact gehad met blackcat, de AP is niet de bron van het nieuws.
Even voor de mensen die denken ken ik dat bedrijf ergens van?

https://nl.m.wikipedia.org/wiki/Nederlands_Vaccin_Instituut

Het was dus ooit RIVM (NVI) en toen afgesplitst.
Het NVI moest sluiten op last van de Minister van VWS waarna het vaccinproductie deel is verkocht aan de Cyrus Poonawalla Group. Dat is een Indiaas bedrijf wat geleid wordt door de Indiaase miljardair Cyrus Poonawalla. Best interessant die man eens te 'DuckDuckGo'en'
Maar verzekert dat 'de meeste informatie niet gepubliceerd wordt'.
Wat lief zeg, het zijn ook zulke aardige jongens.
Bor Coördinator Frontpage Admins / FP Powermod 11 november 2022 19:44
Bilthoven Biologicals ontwikkelt onder meer vaccins tegen blaaskanker, polio, difterie en tetanus.
Erg onsympathiek en onethisch om een bedrijf die dit soort zaken ontwikkeld aan te vallen. Nu is ransomware natuurlijk altijd onsympathiek maar sommige groeperingen hebben wel een soort code of conduct waarbij ze bv de zorg en hulpverlening niet aanvallen.

[Reactie gewijzigd door Bor op 23 juli 2024 21:59]

Al moet ik wel zeggen dat ik van dit specifieke bedrijf niets kan vinden waaruit blijkt (of zou kunnen blijken) dat ze zich als big pharma gemisdraagt...
Maak dan dat je dat zeker weet, voordat je met boute uitspraken komt.

Op dit item kan niet meer gereageerd worden.