'Ransomwaregroep die Indonesische overheid platlegde deelt decryptiesleutel'

De criminele groep die het nationale datacenter van Indonesië infecteerde met ransomware, lijkt tot inkeer te zijn gekomen. Volgens StealthMole, een bedrijf gespecialiseerd in dark web intelligence, heeft de groepering de decryptiesleutel gratis met de Indonesische overheid gedeeld.

De groepering, Brain Cipher genaamd, viel op 20 juni het tijdelijke Nationale Datacenter van Indonesië aan met een variant van de LockBit 3.0-malware. Ongeveer tweehonderd overheidsorganisaties werden door de aanval getroffen. De criminelen eisten 8 miljoen dollar aan losgeld, maar de Indonesische overheid zei al snel dat niet te gaan betalen.

Nu lijkt Brain Cipher tot inkeer te zijn gekomen. StealthMole heeft op X een screenshot gedeeld van een verklaring van de groepering, signaleert The Register. Daarin zegt de groep de decryptiesleutels gratis te delen met de overheid. Via een link is de decryptiesleutel te downloaden, die volgens Brian Cipher alleen werkt voor het Indonesische datacenter. Of de decryptiesleutel daadwerkelijk werkt, is nog niet bevestigd. The Register heeft StealthMole om bewijs gevraagd van de authenticiteit van de verklaring van de ransomwaregroep.

In de verklaring wordt ook de motivatie voor de aanval gedeeld: Brain Cipher voerde naar eigen zeggen een pentest uit, met een betaling achteraf. "Hopelijk heeft onze aanval duidelijk gemaakt hoe belangrijk het is om de industrie te financieren en gekwalificeerde specialisten in te huren." Verder worden excuses gemaakt aan de bevolking van Indonesië, al wil Brain Cipher tegelijkertijd 'dankbaarheid' van de bevolking, omdat ze 'bewust en onafhankelijk' besloten hebben de decryptiesleutel te delen. Ook wordt een link naar een Monero-wallet gedeeld, waar donaties achtergelaten kunnen worden.

De Indonesische overheid zei eerder al tegenover Reuters dat zij zelf probeert de data te ontsleutelen. De verwachting is dat alle overheidsdiensten tegen augustus weer operationeel zijn. Opvallend is dat Brain Cipher in de verklaring waarschuwt dat als de overheid zelf of met hulp van derde partijen de data herstelt, alle gestolen data online gepubliceerd wordt.

De overheid kan in ieder geval geen back-up installeren: van het overgrote deel van de getroffen data is nooit een back-up gemaakt. Het bleek dat het maken van back-ups voor de getroffen overheidsorganisaties optioneel was en geen verplichting. De Indonesische president heeft naar aanleiding daarvan bevel gegeven om audits uit te voeren bij datacenters van de overheid. Digitale burgerrechtengroep SAFEnet is een petitie gestart, waarin minister Budi Arie Setiadi van Communicatie en Informatica wordt opgeroepen om op te stappen.

Door Eveline Meijer

Nieuwsredacteur

04-07-2024 • 11:19

52

Reacties (52)

Sorteer op:

Weergave:

Wat is de kans dat dit niet een situatie is waar er wel betaald is, maar in de betaling afgesproken is dat dit 'gratis' is om gezichtsschade voor de regering te minimaliseren?
Rusland heeft weinig bondgenoten en zolang Indonesie nog neutraal is zal Rusland hier geen vijand willen creeeren.

Ik denk dat de daders een kort maar duidelijk bezoekje hebben gehad van de overheid.
Dat, of de Indonesische versie van de CIA heeft de hackers netjes gevraagd de sleutels te overhandigen als ze nog willen blijven leven. Het rechterlijk vervolgen van hackers uit andere landen is lastig maar in het kader van nationale veiligheid kunnen de geheime diensten natuurlijk wel heel wat.
Zulke hackers leven als een koning in de Oekraine, Romenie of zo'n ander land.
Als een veiligheidsdienst wist wie er achter zaten dan was dat al lang gedeeld met andere diensten.
Het is, zeker in deze tijd van oorlogen, nogal gevaarlijk om zomaar landen te gaan noemen en de indruk te wekken dat het (in dit geval) Oekraïners, Romeniërs, of mensen van dat soort nationaliteiten zijn. Het kunnen net zo goed Russen zijn die vanuit die landen opereren (om maar een voorbeeld te noemen van een land dat wel baat heeft bij negatieve berichtgeving over bepaalde landen).
Dat gebeurt toch regelmatig? soms zijn het ook sympathysanten, soms staatshackers,… soms is het ook gewoon uitlokken.
Ik denk dat hackers veelal onderschatten wanneer ze echt schade doen, dat ze vrij blijven leven. Attributie is een van de lastigste dingen, maar wanneer dat wel lukt, al is dat later,... dan kan het zomaar zijn dat deze personen niets meer van gehoord worden. En dat geldt ook voor westerse landen. Nu zijn die aantallen heel laag waarvan er ooit een verhaal is. Dus zeker is het niet. Ik ben niet echt van de complottheorien, maar er zitten soms best waarheden tussen. Zelf nog niet meegemaakt in ieder geval. :+
Ik heb hem even op moeten zoeken maar attributie betekent dus toeschrijving, en in deze context van een daad aan personen. Dus in gewone mensentaal: de daders opsporen. Maar inderdaad, een overheid aanvallen is wel het laatste wat ik zou doen. Dan sta je al snel vrij machteloos, ook tegenover een land als Indonesië.
Sorry, ik ben zo slecht in terminologie, dat als ik er eentje wel weet, ik 'm dan gebruik :+.

Maar eens. Mocht je wel door het land waarin je zit wordt gepakt, op instructie danwelniet stil, wordt je ook een asset om mee te onderhandelen. Dus het is echt geen fijne positie.

In tegenstelling wanneer je gepakt wordt voor dingen als handel in verboden middelen, waarbij je juist gebruikt kan worden als afschrikmiddel. Overigens ook geen leuke positie.

Die laatste is nogal lastig. Hoewel ik die ten zeerste afkeur, is het soms heel scheef. Darkweb Diaries heeft een aflevering over iemand die wordt opgepakt. Tuurlijk heeft die persoon tegen willens en wetens spul als fentanyl verkocht, wat echt de grootste troep is momenteel op de markt... maar zet dat eens af tegen de bedrijven die dit hebben ontwikkeld, bewust het middel heeft gemaakt, gedistribueerd, voorgeschreven, artsen over gehaald en veel meer grootschalige slachtoffers heeft gemaakt. Deze lui blijven vrij rondlopen met een grote zak geld toe. Dat is onbegrijpelijk.

Voordat ik verder afdwaal.... don't fuck with governments :Y)
Ik heb twee jaar geleden fentanyl toegediend gekregen in het ziekenhuis. Als je het echt nodig hebt dan is het maar wat fijn dat het bestaat. Elk middel kan misbruikt worden, op kleine en grote schaal, maar ik was maar wat blij dat het er is. Ik ben het er wel mee eens dat er genoeg lui rondlopen die wel eens verantwoording mogen afleggen op persoonlijke titel. De olie-industrie loopt er ook vol mee. Er zijn meer witteboordencriminelen dan mensen die daadwerkelijk veroordeeld zijn voor een rechter.
Compleet mee eens; Als er echt op toegekeken wordt, kunnen deze middelen goed gebruikt worden. Nuance zit dan wel in op het feit dat het te pas en te onpas werd toegekend. Maar dat kan inderdaad ook bij fossiele brandstoffen industrie zijn, en eigenlijk iedere waar de belangen voor natuur of volk minder wegen dan de economische voor een relatief kleine groep mensen. Maar helaas :9. Fijn dat het voor jou dus wel heeft gewerkt. Dat mag inderdaad ook gezegd worden.
We komen vanavond wel even langs O-)
OK :p Niet die stick dan in de computer doen die zegt: “usbkill” 😅
Bedankt voor de waarschuwing.
Misschien weten ze allang wie achter dit soort hackersgroepen zitten. Maar zolang ze zich enkel als crimineel gedragen tegenover burgers en bedrijven, heb je daar weinig aan, wanneer de overheid van het betreffende land niet mee wil werken. Zelf een 'uitlevering' verzorgen door ze op te halen ligt diplomatiek en juridisch lastig voor criminelen.
Wanneer ze echter instituties van een land zelf aanvallen, dan spelen diplomatieke problemen een stuk minder (diplomatieke klachten tellen dan een stuk minder zwaar mee in de besluitvorming en er is meestal wel enig begrip voor) en juridisch zijn er dan ook minder strikte regels. Politiek zijn er ook minder problemen om buiten alle regels om dergelijke 'staatsgevaarlijke terroristen' te laten verdwijnen of 'uit het raam te laten vallen' dan om dat bij 'normale' criminelen te riskeren.
Kan ook, maar de volgende keer krijg je dan bepaalde groepen, die geweld ook niet schuwen. Iedereen kan nl. dood. Waar een wil is, is een weg. Kijk maar naar onze narcostaat en de gevolgen voor bepaalde mensen. En geen enkele speciale eenheid is hier tegen opgewassen.

Als dat nl. wel zo zou zijn, dan zouden oorlogen snel beslist zijn.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 16:28]

Dit plus je bent je leven niet zeker. Dit is een aanval van zo'n schaal dat het een moordcommando rechtvaardigt.
De encryptie het raam uit, of jij. Zoiets zal het wel geklonken hebben in het Russisch
Met aan zekerheid grenzende waarschijnlijkheid. Meer dan hier te lande gaat het daar om status en gezichtsverlies.
Of een overheid die mensenrechten niet zo nauw neemt wanneer zulke dingen spelen.
Dat is niet wenselijk maar wel effectief.
Dat kun je niet zomaar aannemen. Het zal niet de eerste keer zijn dat hackers terugkomen op hun acties.
Dat staat er ook niet, goed lezen. Er zullen wel goede tussen zitten met verstand van zaken, maar van het deel wat ik aldaar heb gezien is het huilen met de pet op qua ICT.

Een tijd geleden ging men een nieuwe onderzeese internetkabel aanleggen die Azie beter zou verbinden. 3 keer raden wie er niet meedeed.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 16:28]

Misschien raar om te zeggen, maar als dit waar is, dan geeft dit gezichtsschade aan hackersgroepen.

Hackersgroepen, hoe immoreel en illegaal ze ook zijn, staan wel bekend om een goede reputatie als je de losgeld betaalt. Op het moment dat een hackersgroep zijn afspraak niet nakomt na betaling, dan zal niemand meer bereid zijn om losgeld te betalen.

Dit valt in hetzelfde straatje: Als bekend word dat sleutels worden vrijgegeven als je niet betaalt, waarom zou je dan überhaupt nog betalen?
Ik verwacht zelf dat ze eerder een keuze hebben gekregen; letterlijk of figuurlijk gezichtsverlies?
De overheid kan in ieder geval geen back-up installeren: van het overgrote deel van de getroffen data is nooit een back-up gemaakt. Het bleek dat het maken van back-ups voor de getroffen overheidsorganisaties optioneel was en geen verplichting.
Wauw. :/
Dat is wel heel ernstig.
Is het hebben van backups soms wel verplicht? In de ziekenzorg ofzo?
Of het verplicht is of niet, als professionele IT'er hoor je het belang van backups in te zien. Het is vast vooral een kwestie van geld en politiek dat er geen backups gemaakt worden, maar eigenlijk is er geen goed excuus mogelijk (in het algemeen, ik weet niet wat voor data het is, er zijn echt wel gevallen waarin backups niet nodig/zinnig zijn, maar die nuance voegen wel toe nadat er algemeen backupplan is opgesteld ).
Het is te makkelijk om naar geld en politiek te wijzen. In mijn carriere ben ik toch al vaak genoeg IT-ers tegengekomen die het teveel gedoe vonden om een backupstrategie te ontwerpen en te implementeren. "Als het fout gaat installeer ik het wel even opnieuw, veel makkelijker" en meer van dat soort kreten. En als het wel met geld en politiek te maken heeft zou je als professionele IT-er moeten weigeren er aan mee te werken. Een piloot gaat niet de lucht in als het vliegtuig niet voldoet en een chirurg gaat niet snijden zonder gesteriliseerd gereedschap.
Met een domaincontroller is dat niet zo ingewikkeld (als het niet je primary is dan). Een printservertje is ook nog wel te overzien. Het wordt pas irritant als er databaseservers plat gaan en er geen backup lijkt te zijn....
In jouw voorbeeld gaat het denk ik om het opbouwen van systemen en niet om data. Voor sommige eenvoudige systemen is het makkelijker om het opnieuw te bouwen. Misschien mbv een backup van de settings.
In het artikel gaat het over data. Dat is niet opnieuw op te bouwen, tenzij de bron buiten jouw bereik ligt en de data snel kan worden verkregen.

M.a.w. het opnieuw opzetten van een systeem kan kosteneffectieve en eenvoudiger zijn dan een backup. Dit geldt (meestal) niet voor data.
Jazeker, zie de DORA wetgeving vanuit de EU bijvoorbeeld: https://www.eiopa.europa....al-resilience-act-dora_en
Speculatie: een groot land als Indonesië met een verleden van geweldadige anticommunistische zuiveringen heeft een serieuze geheime dienst. Die heeft gedreigd om de hackers letterlijk te elimineren. Toen hebben die bakzeil gehaald.

(Als hacker kan je overal ter wereld zitten, maar als iemand met de middelen daartoe een hitman op je af dreigt te sturen, krijg je het toch wel benauwd.)
Het zal mij niet eens verbazen als ze inderdaad een mannetje naar één van de hackers hebben gestuurd als een soort waarschuwing.

De andere optie dat er stilzwijgend toch iets is betaald klinkt ook nog wel waarschijnlijk.

De eerste optie zou wel goud zijn, dat betekend dat meer overheden bij een hack de druk op kunnen voeren, waardoor ze minder gehackt worden.
Ik denk het eerste. beetje het zelfde hoe Frankrijk omgaat met Somalische piraten. Soms worden ze eerst betaald en daarna uitgemoord.

Wikipedia: Carré d'As IV incident

[Reactie gewijzigd door icecreamfarmer op 22 juli 2024 16:28]

Ik denk het eerste. beetje het zelfde hoe Frankrijk omgaat met Somalische piraten. Soms worden ze eerst betaald en daarna uitgemoord.

Wikipedia: Carré d'As IV incident
Kun je dat iets meer toelichten? Het is nogal een statement dat je maakt. Zeker als ik de informatie uit het Carré d’As IV-incident lees.

Zoals ik het lees is in dat specifieke geval is er een jacht gekaapt waarna Franse speciale eenheden een reddingsoperatie uitvoerde, waarbij één piraat werd gedood en zes gevangen werden genomen (en berecht in Frankrijk). Dat noem ik niet echt betalen en uitmoorden, zoals je beschrijft.

[Reactie gewijzigd door jdh009 op 22 juli 2024 16:28]

Was een ander incident idd. lastig terug te vinden nu omdat het zeker 15 jaar geleden is.

Er werd losgeld betaald en daarna hebben ze er commandos op afgestuurd om dat losgeld terug te krijgen en de daders te straffen.
Haha, ze weten het wel mooi te verzinnen. Een pen test uitvoeren met betaling achteraf
Haha, ze weten het wel mooi te verzinnen. Een pen test uitvoeren met betaling achteraf
De regering wil ze graag bedanken met gratis kost & inwoning.
Ik gok zo maar dat iemand uit die groep in de kijker bij de autoriteiten/politie is gekomen en de handdoek maar in ring heeft gegooid om erger te voorkomen.
Of zou het vooruitzicht de rest van hun leven in een Indonesische gevangenis te moeten spenderen de doorslag gegeven hebben voor dit herziene inzicht?
Want als de Indonesische overheid dat nu alsnog doet, staat er voor toekomstige chanteurs misschien wel genoeg op het spel om de volgende keer wat langer na te denken.
Sinds wanneer zijn dit soort criminelen bang om gepakt te worden? Het zou in dat geval een stuk rustiger worden in ransomwareland.

Edit:
Aha, ik lees nu onnovanhaarlem's bijdrage. Dit klinkt aannemelijker.

[Reactie gewijzigd door CPV op 22 juli 2024 16:28]

Het bleek dat het maken van back-ups voor de getroffen overheidsorganisaties optioneel was en geen verplichting.

8)7
Niet alle data is belangrijk om te bewaren. Als de data opnieuw gegenereerd kan worden uit data die wel een back-up heeft, dan is een back-up van de gegenereerde data mogelijk nutteloos. Het zou op zijn hoogst de zaak kunnen versnellen als het genereren lang duurt.

Ik denk niet dat het hier het geval zou zijn, maar een back-up van sommige soorten data kan inderdaad prima optioneel zijn.

Een goed voorbeeld van data die mag verdwijnen is de "cache" van rapportages e.d. Complexe rapportages over data worden vaak gecached voor performance redenen, maar kunnen prima uit de bron data opnieuw worden gegenereerd. Je houd alleen een backup van de rapport definitie en de bron-data.
Vorige week probeerde ik een paar keer een visum aan te vragen, kwam steeds een foutmelding, al was het uiteindelijk wel gelukt. Leek wel een server probleem te zijn, misschien dat deze hack ermee te maken had...
Opvallend is dat Brain Cipher in de verklaring waarschuwt dat als de overheid zelf of met hulp van derde partijen de data hersteld, alle gestolen data online gepubliceerd wordt.


Hersteld mag echt met een t geschreven worden...
"Deze link bevat een decryptie sleutel"

Klinkt ook niet verdacht ofzo.

Op dit item kan niet meer gereageerd worden.