Chipmaker Nexperia is getroffen door ransomwareaanval

De Nederlandse chipmaker Nexperia is het slachtoffer geworden van een ransomwareaanval. De criminelen achter de aanval dreigen alle gestolen vertrouwelijke informatie van het bedrijf te publiceren als Nexperia geen losgeld betaalt.

Nexperia heeft vrijdag aan RTL Nieuws bevestigd dat het bedrijf de afgelopen maand getroffen is door ransomware, maar wil nog weinig informatie delen over de hack. Wel is de hack al gemeld bij de Autoriteit Persoonsgegevens en is er een onderzoek gaande. "We hebben onmiddellijk actie ondernomen en de betrokken systemen losgekoppeld", zegt Nexperia.

De hackers zijn onderdeel van een relatief nieuwe groep genaamd Dunghill, schrijft RTL Nieuws op basis van eigen onderzoek naar de hack. Ze zouden honderden gigabytes aan vertrouwelijke informatie hebben gestolen, waaronder handelsgeheimen, ontwerpen van chips en klantgegevens. Dunghill heeft al enkele tientallen vertrouwelijke documenten gepubliceerd op het darkweb om zijn claim te onderbouwen. RTL Nieuws zegt de documenten te hebben geverifieerd. Het is niet bekend hoeveel losgeld de groep heeft geëist.

IT-banen

Reacties (91)

dmantione

Chipproductie

12 april 2024 12:05

Ik denk dat bij Nexperia voornamelijk zal spelen hoe ernstig het publiceren van de informatie is, veel Nexperia-producten zijn chips en componenten die al tientallen jaren op de markt zijn. Elke chipfabrikant heeft bijvoorbeeld een BAV21 (een diode) of 74HC00 (vier NAND-poorten) in zijn assortiment. De kunst is vooral om ze tegen de juiste prijs te produceren, wat er in zit is al lang en breed bekend. Ze worden zowel door gevestigde concurrenten gemaakt (bijv. Texas Instruments) als jonge weinig bekende fabrikanten (bijv. Honglifa).

Dus als hackers het ontwerp van een BAV21 of 74HC00 on-line gooien, denk ik niet dat iemand daar bij Nexperia wakker van zou liggen. Maar natuurlijk zal ook Nexperia informatie hebben die het liever niet openbaar maakt, dat is denk ik waar het pijnpunt zal liggen of op de eisen van de krakers ingegaan zal moeten worden.

laurxp @dmantione • 12 april 2024 13:41

Nexperia verkoopt ook een hoop supermoderne producten, hoor. Vorig jaar was nog in het nieuws dat producten van Nexperia ondanks sancties in Russische raketten terecht kwamen. En juist met de overstap naar elektrische auto's zijn geavanceerde versies van "simpele" diodes of IGBTs extreem gewild.

Over de decennia-oude meuk maken ze zich inderdaad weinig zorgen. Je kan allang veel goedkoper een Chinese kloon krijgen, dus je kiest voornamelijk Nexperia vanwege hun gegarandeerde kwaliteit en leveringszekerheid. Maar hun nieuwere spullen zullen ze toch echt wel voor zichzelf willen houden.

dmantione

Chipproductie

@laurxp • 12 april 2024 13:53

Ik kan dat mij goed voorstellen, toch: Wat is er geavanceerd aan een IGBT? Ik denk als je een IGBT onder de electronenmicroscoop legt, je snel alle details hebt hoe de halfgeleiders in elkaar gelegd zijn. Dat betekent niet dat iedere fabrikant zomaar een moderne IGBT kan maken, daarvoor heb je een fabriek nodig die daar geschikt voor is.

Nu zal over dat productieproces zeker informatie over in documenten zijn vastgelegd, maar een fabriek bouwen op basis van een gestolen document is toch veel en veel moeilijker dan een blauwdruk van een chip gebruiken om een kloon in productie te nemen.

WillySis @laurxp • 12 april 2024 16:38

Het gaat niet alleen om de ontwerpen van de verschillende chips. Ook het klantenbestand is gestolen. Ik kan me voorstellen dat klanten er niet zo blij mee zullen zijn als precies bekend is welke chips zij van Nexperia afnemen.

Mellow Jack @laurxp • 12 april 2024 14:23

We kunnen al tientallen jaren raketten vrij precies laten landen. Denk dat we wel vooruitgang hebben geboekt op de aansturing daarvan maar dat zal grotendeels decentraal plaatst vinden en niet perse in de raket

Hans1990 @dmantione • 12 april 2024 13:49

De vraag is ook hoeveel informatie bij zit die onder NDA staat van externe partijen. De gevolgen van contractbreuk kunnen niet misselijk zijn (ook al is dit misschien overmacht, maar dan moet je wel even je eigen nalatigheid onkrachten)

Nexperia ontwerpt tegenwoordig ook wel steeds meer niche chips met unieke IP. Daarvan zou het waarschijnlijk wel akelig zijn als die lekken, vooral met het oog dat er dan een handjevol aziatische bedrijven zullen zijn die alternatieven kunnen aanbieden (totzover mogelijkheid om R&D terug te verdienen).

jeroen3 @dmantione • 12 april 2024 14:15

Nexperia maakt ook veel custom chips speciaal voor autofabrikanten en andere grote consumentenspelers.
Bijvoorbeeld Apple en Samsung.
Die willen hun designs niet op straat hebben liggen natuurlijk.

dmantione

Chipproductie

@jeroen3 • 12 april 2024 14:17

Ehm... nee? Custom-chips zijn juist geen specialiteit van Nexperia, dat wilde NXP namelijk in huis houden. Ze zullen er wellicht een aantal hebben, maar Nexperia is er juist voor standaardchips.

Zamoraak @dmantione • 12 april 2024 17:07

Nexperia maakt ook machines voor het 'packagen' van dies in chips. Die- bonders, sorters etc.

Soullie 12 april 2024 11:57

Stel je betaald losgeld, hoe weet je 100% zeker dat ze het alsnog niet gaan publiceren ?
Wat een horror situatie.

downtime @Soullie • 12 april 2024 12:15

Dat weet je niet. Het past niet in hun zakelijke model om dat te doen, want dan betaalt het volgende slachtoffer misschien niet meer, maar als de informatie waardevol genoeg is dan willen ze vast wel een uitzondering maken en het alsnog aan de hoogste bieder verkopen.

Polydeukes @downtime • 12 april 2024 12:32

Toch blijkt uit onderzoek naar ransomware dat criminelen niet betrouwbaar zijn, en slachtoffers ook na betaling alsnog gechanteerd worden of dat gegevens toch doorverkocht worden. Dat het niet in hun business model zou passen is een hardnekkig argument dat regelmatig onderuitgehaald wordt door de praktijk. Angst regeert bedrijven die hun reputatie niet geschaad willen zien. En criminelen weten dat.
Hoe pijnlijk ook, het beste advies is gewoon: niet betalen. Dat is de enige manier om het business model onderuit te halen.

HDoc @Polydeukes • 12 april 2024 12:44

Ik hoop dat men beseft dat er maar één middel is dat werkt: nooit betalen. Echt gewoon nooit.

Onze gemeente was ook getroffen door ransomware en ze hebben met veel pijn en moeite het hele systeem weer moeten opbouwen. Maar ze hebben niet betaald.

Misschien is het beter om het betalen van ransom op zich ook strafbaar te stellen; het is immers het faciliteren van crimineel gedrag met vaak grote consequenties niet alleen voor het slachtoffer maar ook voor de nieuwe targets. Het hoeft niet eens te leiden tot daadwerkelijke straffen maar als een bedrijf weet dat betalen strafbaar is, zal men minder genegen zijn dit als optie te zien. En valt de optie "toch maar betalen" intern niet goed meer te verkopen.

[Reactie gewijzigd door HDoc op 22 juli 2024 14:57]

Skit3000

@HDoc • 12 april 2024 12:50

Of betalen op je eigen voorwaarden; de goede oude tas met briefgeld bij de derde prullenbak van het station achterlaten. Als dat nog de enige manier is voor (cyber)criminelen om geld te krijgen dan verhoogt het voor hen het risico enorm. Ze kunnen dan kiezen om een poging te wagen als de beloning groot genoeg lijkt, of om gewoon te stoppen met hun activiteiten. We zijn dan in ieder geval wel snel af van het "tientjeswerk" waar het nu soms op lijkt.

downtime @Skit3000 • 12 april 2024 13:16

Of betalen op je eigen voorwaarden

Als slachtoffer ben jij niet in de positie om voorwaarden te stellen. Als je zo’n goede onderhandelingspositie had dan was er helemaal geen reden om te betalen.

Skit3000

@downtime • 12 april 2024 13:22

Als je de enige bent niet inderdaad, maar als iedereen die wordt aangevallen in ieder geval af stapt van het met crypto betalen naar met cashgeld betalen (er van uit gaande dat helemaal niet meer betalen toch niet lukt) dan is het in ieder geval een stap vooruit.

CPV @Skit3000 • 12 april 2024 15:43

Ik denk dat je ook niet in de positie bent om voorwaarden te stellen aan de betaling.
Het is slikken of stikken, betalen of de bedrijfsgeheimen van jou en je klanten op het dark web.

CPV @Skit3000 • 12 april 2024 13:20

De vraag is maar of je zoveel te eisen hebt.
En tevens het antwoord op HDoc, (niet betalen):
de vraag is wat voor een bedrijf het zwaarst weegt:
de moeite van het opnieuw opbouwen van de systemen
OF
het "tegen elke prijs" willen voorkomen dat de data op straat komt te liggen.
In het eerste geval kun je nog wel je poot stijf houden, maar in het tweede geval heb je geen poot om op te staan.

Skit3000

@CPV • 12 april 2024 13:23

Je data ligt al op straat op het moment dat de crimineel contact met je legt, daar hoeft niemand zich illusies over te maken.

HDoc @CPV • 12 april 2024 13:53

Daarom: meewerken aan deze criminele activiteit door te betalen gewoon strafbaar stellen. Heling is ook strafbaar, ik kan me voorstellen dat dit ook in die categorie zou kunnen gaan vallen. De optie "betalen" wordt dan voor een bedrijf gelijk een veel minder gemakkelijke optie.

invic @CPV • 13 april 2024 12:28

wie controleert dat ze de info niet hebben gekopieerd als je toch betaalt?

CPV @invic • 13 april 2024 12:32

De info hebben ze al gekopieerd, maar de theorie is dat ze die niet openbaar maken als je betaalt. Dat zou hun verdienmodel om zeep helpen. Maar garantie heb je niet.

venomcs @HDoc • 12 april 2024 13:24

Dan krijg je de gevolgen van het publiceren van de data voor iedereen die in die dataset staat.
In het bijzonder BSN nummers, de overheid heeft ooit bepaald dat deze niet te veranderen zijn tenzij je het geld hebt om naar de rechter te gaan. Dus als het openbaar staat, ben je de lul. Zie het GGD gedoe. Overheid laat je het BSN niet veranderen, dus ga je maar geld claimen als vorm van genoegdoening.

Dan heb je nog adresgegevens, zeer gewild voor allerlei soorten criminelen van phishing tot inbraak en van stalking tot liquidatie. Bij overheidslekken zouden overheden actief getroffen mensen moeten helpen met het veranderen van nummers en het in geval van dreiging het regelen van beveiliging.

Als je het betalen van ransom strafbaar wil stellen moet je ook strafbaar stellen dat overheden en bedrijven getroffen mensen maar aan hun lot over laten.

ramdejong74 @venomcs • 14 april 2024 15:30

Dit zet me aan het denken; Zou het dan niet veel meer zin hebben om de gestolen informatie waardeloos te laten zijn?
Natuurlijk kan dat voor een naam en een adres niet. Maar een telefoonnummer, email adres, bankrekeningnummer etc etc zouden toch toch best dynamisch en tijdelijk gemaakt kunnen worden?
Dus specifieke data alleen gegenereed voor een specifieke actie op een specifiek moment met specifieke partijen?
Voor iedere transactie een ander bankrekening nummer dat door de bank voor die transactie wordt gemaakt bijvoorbeeld, Apple doet zoiets ook met "verberg mijn emailadres". Zoiets kan vast ook met telefoonnummers en andere gegevens die samen gebruikt worden ter identificatie en dus vaak gestolen worden.

Dan is het betalen voor dit type info geen kwestie meer, er is immers geen waarde.
Geen oplossing voor IP of voor een gegijzelde omgeving die de continuiteit beinvloed, maar wel iets om over na de denken door banken lijkt me.

Aldy @HDoc • 12 april 2024 13:48

Ik ben het met je eens dat niet betalen het beste is en ik begrijp je argumentatie om het strafbaar te stellen. Het probleem is in dit geval het handhaven. Je kunt tig wetten maken, maar je zal ze allemaal moeten handhaven en bij sommige gaat dit makkelijker dan bij andere. Dit is zo'n wet dat bijna niet te handhaven is. Er is bijvoorbeeld geen zicht op als er betaald wordt door een buitenlandse vestiging of als de verzekeringsmaatschappij rechtstreeks de betaling doet. Neemt niet weg dat je gelijk hebt, maar ik denk niet dat zoiets in een wet moet worden vastgelegd, nog afgezien of daar een meerderheid in het parlement voor te vinden is.

HDoc @Aldy • 12 april 2024 13:57

Goede redenatie.

Daartegenover: bij een ransomware attack zal een bedrijf zeker de bedrijfsjurist of een extern juridisch adviseur inschakelen. Als betalen strafbaar wordt gesteld, zal een jurist nooit gaan adviseren dat toch maar te gaan doen. Een CEO handelt in dit soort gevallen natuurlijk nooit zonder het juridisch advies zwaar te laten meewegen. En zal er per saldo minder vaak worden betaald dan dat nu het geval is.

Investeren in handhaving is daarom eigenlijk niet eens zozeer noodzakelijk. En als men dan toch alles op alles zet om wel te betalen dan kan men dat doen maar riskeert een CEO wel zijn eigen positie mocht het toch boven water komen. Ook wetende dat de criminelen aan de andere kant er weinig problemen mee zullen hebben dan ineens te zorgen voor bewijs van een strafbaar feit tenzij er nog meer betaald gaat worden.

Aldy @HDoc • 12 april 2024 14:11

Ik denk nu juist aan zo'n groot bedrijf als Nexperia. Dan mag het een Nederlands bedrijf zijn met een eigen Nederlandse CEO, maar op zo'n moment vraag ik mij af wie de touwtjes in handen heeft. Ik kan mij voorstellen dat alles vanuit China geregeld wordt, zeker als het strafbaar wordt in Nederland.
Wat wel een groot voordeel is, bij het strafbaar stellen van losgeld, is dat echt Nederlandse bedrijven niet heel erg interessant worden om te chanteren.

ramdejong74 @HDoc • 12 april 2024 23:24

Je zou kunnen stellen dat je door te betalen je er echt alles aan hebt gedaan om te voorkomen dat de gegevens gelekt worden.

invic @ramdejong74 • 13 april 2024 12:33

Ik vraag mij steeds af hoe een bedrijf die weet dat zij een groot potentieel risico hebben om te worden gehackt de beveiliging niet goed op orde hebben...

ramdejong74 @invic • 14 april 2024 15:08

@invic Iedere organisatie loopt een risico natuurlijk. Eerder werd al een vergelijk gemaakt tussen Nexperia en NXP, Denk dat de verschillen van aantrekkelijkheid van het slachtoffer-bedrijf op basis van het doel van een aanval hierin aardig naar wordt geschetst. Niemand heeft het helemaal op orde, er zijn altijd kwetsbaarheden of risiso's. Soms kan je er als organisatie meer aan doen slachtoffer te worden, soms -bijna- helemaal niets.
Het is en blijft altijd een afweging tussen "wat is een acceptabel risico" vs "hoe efficient kunnen we werken".
Het risico wordt idd ook beinvloed door de aantrekkelijkheid voor sommige kwaadwillenden. Hoe een bedrijf dit inschat is een grijs gebied, net als "goed" in goed op orde.
Ik hoop dan ook op een aanscherping van de richtlijnen en regelgeving daaromtrend die nu wordt ingezet door NIS2.

m_snel @HDoc • 12 april 2024 23:50

Heel verstandig, zodra je gaat betalen aan gijzelingen van mensen of data maar je het alleen maar populairder. Als nooit iemand betaald had , was dat probleem er niet.

downtime @Polydeukes • 12 april 2024 13:20

Toch blijkt uit onderzoek naar ransomware dat criminelen niet betrouwbaar zijn, en slachtoffers ook na betaling alsnog gechanteerd worden of dat gegevens toch doorverkocht worden

Dat is nu net wat ik zei. Criminelen zijn opportuun en ze zullen gewoon doen wat het meeste oplevert. Dat het niet binnen het business model past zal hun niet tegenhouden als ze meer kunnen verdienen door van het business model af te wijken.

Vaatdoek82 @Soullie • 12 april 2024 12:00

Of dat je na 2 maanden weer een betaalverzoekje ontvangt

kodak

Hack
Ransomware
Economie en maatschappij
Nederland

@Soullie • 12 april 2024 13:34

De praktijk is dat ondernemers die persoonlijke gegevens wettelijk genoeg tegen dit soort lekken en gevolgen als afpersen horen te beschemen dat al niet doen. Dan kun je dus ook niet zomaar verwachten dat een crimineel die het normaal blijkt te vinden om wetten te overtreden, andermans gegevens te stelen en gijzelen wat dat betreft in alle opzichten beter zou zijn.

Zelfs al zouden we doen alsof ze even betrouwbaar zijn dan horen we er dus vanuit te gaan dat ook criminelen onbedoeld lekken hebben, lekken door onkunde/laksheid enz in stand houden of opzettelijk kiezen voor opportunistisch winst maken op kosten van anderen. Er is dus een aanzienlijke kans dat het je als slachtoffer meer risico geeft dan je zou willen.

Daarbij lijkt het me dat als we in de praktijk wettelijk al eisen dat een bedrijf dat je belangrijke gegevens wil verwerken zowel aantoonbaar maakt de gegevens goed genoeg te beveiligen en bij misstanden juridisch verantwoordelijk te houden is we dat niet zomaar even gaan negeren bij een crimineel die je afperst met die gegevens. Maar dat doen we bij betalen wel: geen toezicht prima vinden, geen bewijs van beveiligen accepteren en onwil voor juridische aansprakelijkheid accepteren van criminelen. Maar het ondertussen wel eisen bij bedrijven die wel eerlijk proberen te handelen alsof criminelen meer betrouwbaar zijn.

Vaatdoek82 12 april 2024 11:59

Ik ben benieuwd hoeveel voorzorgsmaatregelen Nexperia heeft toegepast voor de ransomware, zoals segmenteren, 2FA ect.

Single_Core @Vaatdoek82 • 12 april 2024 12:17

Stel je netwerk heeft perfecte segmentatie en 2FA op mailing en public accounts etc ...

1 persoon van het HR of IT of ... team download en execute iets van malware. Die hebben toegang tot bepaalde documenten via een netwerk share lokaal of hebben zelfs actieve sessies open staan naar hun onedrive / sharepoint. Alle documenten tot hier zijn nu al compromised. En vaak moet het al niet erger zijn dan dit om zaken te kunnen gaan crypto-locken.

Maar, vaak gaat het veel verder dan dit ...

Nu heb je wel een systeem met mogelijks administrator rechten binnen in hun windows domain. Nu kan je lekker passief gaan scannen en hashes vangen. Proberen te bruteforcen, .... En je vangt hier of daar wel een domain admin of een slecht beveiligde server en kan vervolgens het volledige domain overnemen. Mogelijks uiteindelijk ook nog toegang tot een backup server / flow waar je jezelf in kan hechten etc ...

Er zo zijn er nog 1001 verschillende paden om te gaan infecteren / schade toe te richten.

TLDR: Personeel opleiden zodat ze phishing goed begrijpen/detecteren en escaleren wanneer nodig, Ontneem rechten waar overbodig en zorg ervoor dat alles steeds mooi (waar mogelijk) up-to-date is.

Een goed antivirus / EDR pakket is allemaal wel zeer tof met hun toeters en bellen. Maar custom-made/packed malware zal daar altijd omheen dansen. (Dan moet je wel al een belangrijk doelwit zijn, vaak is het al malware die vrij-wel door ieder system mooi gedetecteerd word en zijn ze simpelweg niet up-to-date ...)

dmantione

Chipproductie

@Single_Core • 12 april 2024 12:24

Ik denk dat met goed beveiligingsbeleid vooral de kans dat ze al je data versleutelen kunt verkleinen. Het voorkomen dat informatie gestolen wordt is veel moeilijker en als je dat wilt moet je expliciet gaan administreren in je bedrijf wie welk document mag zien en allerlei procedures invoeren om toegang te verkrijgen. Dat betekent ook dat je overal op de werkvloer mensen hebt wiens baan het is om toe te zien dat de interne bureaucreatie wordt nageleefd. Voor bedrijven die met zeer gevoelige informatie werken, zoals ASML, kan dat zinnig zijn (maar dan nog). Voor bedrijven die moeten concurreren, zoals Nexperia, helpt allerlei interne bureaucratie niet om de juiste prijs te bereiken, dus lijkt het me heel moeilijk om een beleid te ontwikkelen dat diefstal van informatie kan voorkomen.

sympa @dmantione • 12 april 2024 13:52

Ik zit net te denken, infecteer HR, die mailen wel eens een pdf naar "al het personeel", en dan heb je een perfecte verspreiding.

Timmiejj @sympa • 12 april 2024 15:00

Dat is hoe security hier hun phishing simulaties doen. Ze sturen mails alsof ze van HR van het bedrijf zijn met een bogus link onder het mom van voucher voor gratis telefoonhoesje o.i.d. (iets wat niet ongebruikelijk is binnen ons bedrijf).

Single_Core @Timmiejj • 12 april 2024 17:20

Mooi groot label binnen de gebruikte tools "EXTERNAL MAIL USE WITH CAUTION"

sympa @Single_Core • 12 april 2024 20:08

Tja, totdat HR daadwerkelijk besmet is, dan staat dat label er dus niet bij.

ramdejong74 @dmantione • 12 april 2024 23:28

Het steeds terugkerende dilemma, meer efficientie of meer veiligheid?

BytePhantomX @Single_Core • 12 april 2024 13:49

1 persoon van het HR of IT of ... team download en execute iets van malware. Die hebben toegang tot bepaalde documenten via een netwerk share lokaal of hebben zelfs actieve sessies open staan naar hun onedrive / sharepoint.

OneDrive en Sharepoint hebben ingebouwde ransomware bescherming. Dat werkt door het in bulk terugzetten van versies op alle documenten. En ja, daar zit ook een kwetsbaarheid in, maar ik ken geen publieke voorbeelden waar daar gebruik van is gemaakt.

Nu heb je wel een systeem met mogelijks administrator rechten binnen in hun windows domain.

Met een goede netwerksegmentatie moet je dat juist afschermen.

Nu kan je lekker passief gaan scannen en hashes vangen. Proberen te bruteforcen,

Dat is met een goede EDR of detectie prima te detecteren. En je zit vrij vroeg in de aanvalsketen en je kunt dus nog steeds ingrijpen.

En je vangt hier of daar wel een domain admin of een slecht beveiligde server en kan vervolgens het volledige domain overnemen.

Daarom gebruik je netwerksegmentatie en heb je een management VLAN waar de aanvaller niet op kan komen zonder fysiek ergens te zijn of dmv een VPN met MFA. Daarnaast kun je door het uitschakelen van oudere protocollen deze kwetsbaarheid prima mitigeren. Beide manieren om het afvangen van credentials zeer lastig of onmogelijk te maken.

Mogelijks uiteindelijk ook nog toegang tot een backup server / flow waar je jezelf in kan hechten etc ...

Advies is om offline backups te hebben en / of je backup servers niet te domain joinen om juist dit te voorkomen. En wederom, met netwerksegmentatie en backup hardening kan je veel voorkomen.

LDR: Personeel opleiden zodat ze phishing goed begrijpen/detecteren en escaleren wanneer nodig,

In mijn ogen juist niet. Phishing awareness gaat je kwetsbaarheid nooit naar nul brengen en draagt daarmee maar voor een klein deel bij. Juist de technische maatregelen hierboven voorkom je dat er een grote impact is. Daarnaast komen veel aanvallers binnen door kwetsbare internet facing systemen, denk aan recente Ivanti, Netscaler, Exchange. Daar gaat awareness niets aan doen en in sommige gevallen kon je ook niet op tijd patchen.

Een goed antivirus / EDR pakket is allemaal wel zeer tof met hun toeters en bellen. Maar custom-made/packed malware zal daar altijd omheen dansen.

Deels waar, maar dat is niet wat de meeste ransomware aanvallers doen. Dan heeft EDR en met name het detectie stuk heel veel waarde.

[Reactie gewijzigd door BytePhantomX op 22 juli 2024 14:57]

Single_Core @BytePhantomX • 12 april 2024 22:27

Waar ik volledig akkoord ben, het word in de praktijk nooit gedaan. Plus enorm veel configuratie bij een windows domain is allemaal default behavior unsecure.

- Je kan een device met regular user domain joinen zonder admin permissions by default.
- NTLM hashes / relaying / geen signing / .... by default
- ...

Een bedrijf met 40 / 50 werknemers kan al deze zaken niet betalen. Dus dan moeten we al kijken naar de zeer grote bedrijven, wat deze natuurlijk wel is en mogelijk met misconfiguraties zat. (hoop ik; kuch kuch)

In kleinere bedrijven zie ik een windows domain eerder als een ingebouwde default vulnerability, want niemand heeft deze correct afgesteld. In grotere bedrijven slagen ze er altijd ergens wel in een VLAN incorrect te configureren of met teveel access of een wilde windows XP/win 7 SP1 domain joined PC actief te laten etc ......

m_snel @Single_Core • 12 april 2024 23:53

Microsoft is onlangs nog op de vingers getikt dat de best practis niet voldoende is. Wie weet wordt het dan beter.

invic @BytePhantomX • 13 april 2024 12:43

Tegen een malafide werknemer, als Trojaanse paard, kun je niet beschermen...

DigitalExorcist @Vaatdoek82 • 12 april 2024 12:44

Dat helpt allemaal wel, maar als je vervolgens een domme gebruiker hebt óf iemand die genoeg gechanteerd wordt, heb je alsnog een lek.

Daarom niet alleen dat soort beveiligingen, maar ook awareness, monitoring van datastromen, encryptie van data, etc. toepassen.

FrostyPeet 12 april 2024 12:50

Op RTL nieuws ook al over "hackers". Nou, ik noem het "dieven". Gewoon ordinair stelen en afpersen.

Honderden gigabytes "steel" je niet zomaar. Zelfs met een flinke uploadsnelheid duurt dat al minimaal 1 dag. Ik mag aannemen dat iemand niet zomaar een harde schijf, SD kaart of 4G modem in een PC kan steken..

Het is triest dat zo'n schending van green zone/red zone een bedrijf zoveel schade bezorgt. Je zou er maar werken en je paspoort gegevens zijn gestolen. Ben je toch het haasje.

Frame164 @FrostyPeet • 12 april 2024 13:17

Hackers klinkt inderdaad veel te lief. Daar hangt toch vaak een beeld bij van een paar wizzkids die vanuit een garage aan het hobbyen zijn. Laten we het voortaan gewoon noemen wat het is. Criminelen. En gezien de bedragen waar het om gaat past het ook in de categorie zware criminaliteit.

lighting_ @FrostyPeet • 12 april 2024 13:31

Dan heeft nexperia niet goed op orde
100en gigabytes zonder autorisatie zomaar downloaden

Raymond Deen 12 april 2024 11:51

Als het maar niet wéér een publiek toegankelijke bucket of database is... Dat is geen hacken te noemen.

Het wordt eens tijd om dezelfde hoeveelheid geld die dat soort groepen eisen in te gaan zetten om ze op te sporen en op te rollen

De pakkans voor mensen die dit doen, is volgens mij nu nog erg laag.

Yalopa @Raymond Deen • 12 april 2024 11:56

Ik denk dat vooral de kost van het opsporen extreem hoog is. Deze organisaties zitten zelden in eigen land / de eu, maar eerder in landen waarmee hun gang kunnen gaan en in sommige gevallen zelfs gesponsord en beschermd worden

Raymond Deen @Yalopa • 12 april 2024 12:14

Is dat wel zo?
Het is natuurlijk een makkelijk narratief op dit moment, en het zal ook best wel vaak kloppen, maar het lijkt me de moeite waard om na te gaan waar deze hack vandaan komt en te proberen de hackers te pakken.
Maak het in ieder geval minder lonend en gevaarlijker voor ze door een serieuze inspanning te doen.

sympa @Raymond Deen • 12 april 2024 13:48

https://krebsonsecurity.com/ heeft er over gerapporteerd - lang geleden hoor. Maar hij zocht contact met de ransomwarebende, en zei dat ie voor Gazprom werkte. "Oh, als je een foto stuurt van je personeelsbadge dan decrypten we gratis voor je".

ramdejong74 @Raymond Deen • 12 april 2024 23:33

Als de eis voor geld niet gewoon een afleiding is en men eigenlijk uit was op de info gn om zelf de productie efficienter te kunnen uitvoeren. Er zijn wel wat landen die daar voordeel bij hebben op dit moment. "op het moment dat de diefstal uitkomt eisen we een ransom" .

Single_Core @Raymond Deen • 12 april 2024 12:04

Uw onderzoek leid tot een mogelijk IP in rusland of india. Wat zijn uw volgende stappen. Vaak zijn dit volledig overheids-goedgekeurde bedrijven binnen deze landen.(Die actief phishing campagnes bouwen en uitrollen.) Die zouden nooit stappen onderenemen om er iets aan te veranderen, te lucratief.

Maak het betalen van ransomware illegaal. Zolang er betaald word blijft het gebeuren.

[Reactie gewijzigd door Single_Core op 22 juli 2024 14:57]

FrostyPeet @Single_Core • 12 april 2024 13:12

Het ligt iets genuanceerder volgens mij. Het strafbaar stellen van betalen van ransomware lijkt mij niet handig. Het voorkom dat bedrijven gaan melden. Als alle data op slot zit, moet het bedrijf iets, anders gaan ze snel failliet. Het geboefte heeft ook geen baat bij het publiek bekend worden, die willen gewoon geld. soms zit er gewoon niets anders op dan betalen, als al je andere opties zijn uitgeput.

Bij dit bedrijf is ook wat meer aan de hand dan alleen ransomware. Het publiceren van gestolen informatie is een andere tak van criminaliteit, met eigen "spelregels". Als ik het nieuwsartikel goed begrijp zijn er ook Amerikaanse bedrijven bij betrokken. De kans is groot dat de FBI o.i.d. erbij betrokken raakt.

CPV @Single_Core • 12 april 2024 13:24

Maak het betalen van ransomware illegaal.

En Nexperia dus verplichten toe te staan dat de vertrouwelijke informatie van hun klanten (ik lees SpaceX, Apple en Huawei) op straat komt te liggen?

Single_Core @CPV • 13 april 2024 09:25

Betalen geeft je geen enkele garantie dat ze het niet later of zelfs nu al hebben doorverkocht aan andere partijen...

hiostu @Raymond Deen • 12 april 2024 12:03

Lastig om mensen te pakken als ze in landen zitten die geen uitleveringsverdrag hebben, of er überhaupt niets aan doen. Rusland laat bijvoorbeeld hackers met rust zolang ze maar bedrijven en instanties in het buitenland aanvallen. En dan heb je nog hackers in dienst van overheden zelf.

NotWise @hiostu • 12 april 2024 12:25

Ik denk dat het de Chinezen zijn, gezien het doelwit. De Russen en Noord-Koreanen zijn vaak meer uit op disruptie en geld. Het is merkwaardig dat er bij dit soort tech bedrijven nog steeds geen software draait om ransomware (vaak via een phishing e-mail) te stoppen. De software bestaat namelijk. Ik weet uit ervaring dat het management altijd onderschat hoeveel gevaar ze lopen en security vaak niet altijd als prioriteit zien. Het treft namelijk altijd een ander ...

dmantione

Chipproductie

@NotWise • 12 april 2024 12:44

Wingtech zou Nexperia simpelweg kunnen opdragen een bepaalde chip in een Chinese fab te produceren, en dan zullen er noodzakelijk Chinezen komen met toegang tot de informatie over die chip. Dus ik heb er mijn twijfels over, is in dit geval niet logisch dat Chinezen een bedrijf in Chinese handen hacken.

Er hoeft niet altijd een staat achter een hack te zitten. Crimenele bendes kunnen goed geld met hacks verdienen. Gegeven de aard van de producten van Nexperia acht ik dat waarschijnlijk: Chips die Nexperia maakt worden al lang door Chinese concurrenten gemaakt. Wat Rusland betreft... JSC Integral uit Wit-Rusland maakt hetzelfde soort chips dat Nexperia maakt, ook Rusland heeft dus al toegang tot de technologie. Vergelijk bijvoorbeeld een 74HC257 van Nexperia en een 74HC257 van JSC Integral. Blijft over Noord-Korea... tja, die kunnen gewoon in China winkelen, geen enkele reden om moeilijk te doen met hackers.

Nexperia zal vast en zeker de nodige chips hebben die de concurrent niet heeft, maar als vreemde mogendheid moet je ook je programmeurs op een zinnige wijze inzetten, ik denk dat Nexperia één van de minst aantrekkelijke fabtikanten is wat betreft hoogwaardige chiptechnologie. Om de reden lijkt mij een bende die op geld uit is de beste verklaring.

[Reactie gewijzigd door dmantione op 22 juli 2024 14:57]

ernstoud

@NotWise • 12 april 2024 12:57

Nexperia is al een Chinees bedrijf.

Zer0 @NotWise • 12 april 2024 12:43

Ik denk dat het de Chinezen zijn, gezien het doelwit. De Russen en Noord-Koreanen zijn vaak meer uit op disruptie en geld.

De criminelen achter de aanval dreigen alle gestolen vertrouwelijke informatie van het bedrijf te publiceren als Nexperia geen losgeld betaald.
Ze zijn dus blijkbaar op geld uit.....

Het is merkwaardig dat er bij dit soort tech bedrijven nog steeds geen software draait om ransomware (vaak via een phishing e-mail) te stoppen.

Ransomware zit over het algemeen niet in phishingmails, phishing is het proberen credentials van gebruikers te bemachtigen, en die kan eventueel later gebruikt worden om ransomware te verspreiden.

De software bestaat namelijk.

Alleen geeft die absoluut geen garantie dat je 100% beschermd bent.

NotWise @Zer0 • 12 april 2024 13:47

Ik heb daadwerkelijk beroepsmatig met grote ransomware aanvallen te maken gehad. Ze kwamen altijd via (spear)phising e-mails binnen. Gebruiker opent bijlage en feest!

Uiteraard bestaat 100% bescherming niet, maar vaak is er namelijk helemaal niets! Wederom spreek ik uit ervaring en ik heb heel wat bedrijven van binnen gezien. Je kan met de instelling "Alleen geeft die absoluut geen garantie dat je 100% beschermd bent" ook voortaan gewoon je dag en nacht je voordeur van je huis openzetten. Dat doe je ook niet.

Wellicht is mijn aanname ten aanzien van de Chinezen achter aanval speculatief. Ook omdat het Nexperia al in Chinese handen is. Je hebt natuurlijk ook groepen die op eigen houtje opereren en die zijn vooral op geld uit.

M3m3nt0m0r1 @Zer0 • 12 april 2024 13:02

Via een phising email kan wel degelijk ransomware binnen gebracht worden.

dmantione

Chipproductie

@M3m3nt0m0r1 • 12 april 2024 13:39

Dat kan, maar voor hetzelfde geld heeft een kwaadaardige stagair het naar binnen gebracht. Als ik bij bestanden kan, dan kan ik ze lezen en op USB-stick meenemen. Als ik schrijfrechten heb, dan kan ik ze versleutelen (er is geen informatie dat bestanden versleuteld zijn). Er is in een dergelijk geval geen probleem met de computerbeveiliging, die heeft dan gefunctioneerd zoals bedacht is.

M3m3nt0m0r1 @NotWise • 12 april 2024 13:01

Die software kan gewoon gebypassed worden. Zijn interessante scripts/handleidingen voor te vinden op internet.

dezejongeman 12 april 2024 12:59

wat ik mis in het artikel; het is niet echt meer een NL bedrijf. het bedrijf is namelijk onderdeel van het chinees gesubsidieerde Wingtech Technology, aldus Wiki
https://en.wikipedia.org/wiki/Nexperia

dmantione

Chipproductie

@dezejongeman • 12 april 2024 13:19

Op zich juist, maar in tegenstelling bijvoorbeeld TP-Vision, wat eigenlijk alleen nog maar een verkooporganisatie is van TPV-televisies, is Nexperia zeer Nederlands. Het heeft een Nederlands hoofdkantoor, Nederlandse directie, Nederlandse ingenieurs en ga zo verder. Het heeft een fab in Hamburg en inderdaad eentje in China, in Kanton.

Nexperia was een door Philips en NXP lang verwaarloosde divisie, het was een sterfhuis. De Chinezen zijn er weer in gaan investeren en deden die investeringen ook in Europa. Ze hebben er een winstgevend en levensvatbaar bedrijf van gemaakt. Persoonlijk vind ik Nexperia het meest interessante deel van het voormalige Philips Semiconductors, wat NXP maakt is interessant voor banken en autofabrikanten, voor Tweakers die in elektronica zijn geïnteresseerd is het aanbod van Nexperia veel relevanter.

Sissors

Chipproductie

@dmantione • 12 april 2024 13:53

wat NXP maakt is interessant voor banken en autofabrikanten, voor Tweakers die in elektronica zijn geïnteresseerd is het aanbod van Nexperia veel relevanter.

Ben ik wel benieuwd waarom. Want meeste van het spul wat de hobbyist koopt van Nexperia kan je ook zo van andere fabrikanten kopen (HC series, losse mosfets, etc). Terwijl de high performance spul die ze maken bij Nexperia weer niet zo bijzonder fascinerend is voor de hobbyist. Terwijl een NXP toch goed meespeelt op de microcontroller markt, waarbij ze zeker bij hobbyisten niet de grootste speler zijn, maar zeker wel een speler is.

dmantione

Chipproductie

@Sissors • 12 april 2024 14:08

Voorbeeldje: Philips PLL design guide. Het is verreweg het beste document dat ik ken voor het ontwerpen van je eigen fasevergrendellus, ook het op zich ouderwetse MS-DOS-programma dat er bij zit is zeer behulpzaam bij het kiezen van de documenten. Je kunt de 74HC4046 zeker van andere fabrikanten kopen, doch alleen Nexperia maakt de exacte chip die beschreven wordt.

Verder is Nexperia-spul gewoon goed verkrijgbaar. Soms is het zeker logisch om een ander merk te nemen, maar met regelmaat zul je ook wel voor Nexperia kiezen.

Nexperia heeft ook nog nieuwe ontwerpen in logicachips die andere fabrikanten niet hebben, ook dat maakt Nexperia interessant.

NXP-microcontrollers interesseren mij geen zier. Als amateur zou ik altijd eerst kijken of een Atmega of RP2040 geschikt is, dat zijn immers de best ondersteunde microcontrollers in veel software, zoals de Arduino-IDE. Bovendien heeft Microchip een groot deel van zijn microcontrolerassortiment in voor amateurs geschikte bouwvormen, je kunt een zeer groot deel van het assortiment in DIP of PLCC krijgen. Ondanks dat in massaproductie dit soort bouwvormen amper gebruikt worden, veel innovatie ontstaat toch uit amateurprojecten, dus het is wel belangrijk.

NXP heeft zijn ziel verkocht en maakt allemaal boosaardige BGA's en andere bouwvormen die niet te solderen zijn. Wellicht voor de grote miljoenenorders lucratief, voor mij is het waardeloos.

Overigens is ook Nexperia hier niet zonder zonden, want ook Nexperia is volledig SMD (het oude Philips Semiconductor was dat beslist niet). Dus soms zal ik om die reden Nexperia vermijden. Echter, SOIC , TSSOP e.d. wat Nexperia gebruikt, is wel degelijk handsoldeerbaar, in tegenstelling tot BGA's, dus is het grootste deel van het aanbod van Nexperia wél bruikbaar.

----

Nog even toevoegend: Microcontrollers zijn geen vervanging van logica. Als iets met logica gebouwd kan worden, zelfs als oude 74LS-chips uit de jaren '70 gebruikt worden, ze reageren binnen luttele nanoseconden. Een microcontroller haalt wellicht heel veel megahertzen, maar in software net zo snel reageren met net zo weiniger jitter als logica is onmogelijk. In algemeen denk je bij logica aan nanoseconden, bij microcontrollers zit je al vrij snel in microseconden te denken. Logica faalt nooit, het is heel eenvoudig om de correctheid te bewijzen als iets zo betrouwbaar moet zijn als er, bij wijze van spreken, of letterlijk, mensenlevens van afhangen.

Het is goed dat er microcontrollers met al hun rekenkracht en krachtige I/O-mogelijkheden bestaan, maar logica zullen ze nooit vervangen.

[Reactie gewijzigd door dmantione op 22 juli 2024 14:57]

MindBender @dmantione • 13 april 2024 09:40

Daar heb je wel een goed punt: Goede documentatie is tegenwoordig zeer zeldzaam.

Wat betreft je punt over microcontrollers: Het is inderdaad waar dat zo’n beetje alle software voor ATMega en PIC controllers al geschreven is. Maar je zou tòch eens naar de NXP LPC microcontrollers moeten kijken. De IP blokken zijn namelijk niet alleen superieur aan de voorgenoemde, maar ook veel talrijker en meer divers. Er is maar weinig wat je er niet op aan kunt sluiten.

BGA & friends zijn inderdaad niet handig voor hobbyisten, maar als enkel IC op een converter-printje is het wel te doen. Niet mooi, maar werkbaar, dat is tenslotte hobbyisme.

En voor LQFP microcontrollers zou je ook eens naar de i.MX-RT serie kunnen kijken. Aan de onderkant hebben ze nog wel wat LQFP packaged controllers, die toch maar mooi een Cortex-M6 op 600MHz aan boord hebben.

invic @dezejongeman • 13 april 2024 12:39

Kunnen ze Chinese hackers afstrepen dan.

Frame164 @dezejongeman • 12 april 2024 13:19

Als je een Nederlandse legal entity is, is het gewoon een Nederlands bedrijf. Het is een Nederlanse B.V. met alles wat daar bij hoort. Of noem jij tweakers ook Vlaams?

BytePhantomX 12 april 2024 11:59

Mijn beeld is dat een bedrijf dat in deze sector actief is, zich zorgen zou moeten maken om statelijk actoren en diefstal van intellectual property. Ransomware aanvallers zijn skilled, maar staan qua technieken die ze toepassen gemiddeld toch een stukje lager op de ladder. Vooral ook omdat ze opportunistisch te werk gaan. Daarmee kun je er wat mij betreft er vanuit gaan dat ze zich sowieso niet hebben kunnen verdedigen tegen statelijke actoren, wat mij echt verbaast gezien de sector.

edit: @dmantione heeft een aardige nuance dat wat het bedrijf doet waarschijnlijk niet in dezelfde categorie valt als NXP en dus mogelijk niet interessant is voor statelijke actoren. Als het puur een op kosten gerichten organisatie is en zo goedkoop mogelijk moet kunnen produceren, dan is het wat begrijpelijker dat ze kwetsbaar zijn voor een ransomware aanval. Security kost nu eenmaal geld.

[Reactie gewijzigd door BytePhantomX op 22 juli 2024 14:57]

ramdejong74 @BytePhantomX • 12 april 2024 23:38

Toch is er veel IP gestolen, ook van klanten. Ik zou dan ook niet verbaast zijn als er wel een link is met statelijk actoren en de ransom een afleiding is.

craymour 12 april 2024 12:00

Als er daadwerkelijk zoveel data is buitgemaakt bij een high-tech bedrijf als Nexperia dan ben ik benieuwd wat uiteindelijk dit voor bedrrijfs-schade gaat opleveren.

etrans 12 april 2024 12:23

NOS: Het zou gaan om honderden gigabytes aan belangrijke gegevens, zoals ontwerpen van chips en klantgegevens van onder andere SpaceX, Apple en Huawei.

Arfman 12 april 2024 13:31

Ongelofelijk dat je als chipmaker anno 2024 nog geen systeem hebt wat je waarschuwt als er plotseling honderdden gigabytes uit het netwerk gaan. Onvergeeflijk.

eettjjuuhh @Arfman • 12 april 2024 14:19

Iets met beste stuurlui?

Arfman @eettjjuuhh • 12 april 2024 14:38

In dit geval sta ik zelf ook aan het roer (van een beduidend minder belangrijke omgeving dan deze) en zelfs wij hebben deze basic monitoring ingericht.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (91)

Sorteer op:

Weergave: