De criminele groep die het nationale datacenter van Indonesië infecteerde met ransomware, lijkt tot inkeer te zijn gekomen. Volgens StealthMole, een bedrijf gespecialiseerd in dark web intelligence, heeft de groepering de decryptiesleutel gratis met de Indonesische overheid gedeeld.
De groepering, Brain Cipher genaamd, viel op 20 juni het tijdelijke Nationale Datacenter van Indonesië aan met een variant van de LockBit 3.0-malware. Ongeveer tweehonderd overheidsorganisaties werden door de aanval getroffen. De criminelen eisten 8 miljoen dollar aan losgeld, maar de Indonesische overheid zei al snel dat niet te gaan betalen.
Nu lijkt Brain Cipher tot inkeer te zijn gekomen. StealthMole heeft op X een screenshot gedeeld van een verklaring van de groepering, signaleert The Register. Daarin zegt de groep de decryptiesleutels gratis te delen met de overheid. Via een link is de decryptiesleutel te downloaden, die volgens Brian Cipher alleen werkt voor het Indonesische datacenter. Of de decryptiesleutel daadwerkelijk werkt, is nog niet bevestigd. The Register heeft StealthMole om bewijs gevraagd van de authenticiteit van de verklaring van de ransomwaregroep.
In de verklaring wordt ook de motivatie voor de aanval gedeeld: Brain Cipher voerde naar eigen zeggen een pentest uit, met een betaling achteraf. "Hopelijk heeft onze aanval duidelijk gemaakt hoe belangrijk het is om de industrie te financieren en gekwalificeerde specialisten in te huren." Verder worden excuses gemaakt aan de bevolking van Indonesië, al wil Brain Cipher tegelijkertijd 'dankbaarheid' van de bevolking, omdat ze 'bewust en onafhankelijk' besloten hebben de decryptiesleutel te delen. Ook wordt een link naar een Monero-wallet gedeeld, waar donaties achtergelaten kunnen worden.
De Indonesische overheid zei eerder al tegenover Reuters dat zij zelf probeert de data te ontsleutelen. De verwachting is dat alle overheidsdiensten tegen augustus weer operationeel zijn. Opvallend is dat Brain Cipher in de verklaring waarschuwt dat als de overheid zelf of met hulp van derde partijen de data herstelt, alle gestolen data online gepubliceerd wordt.
De overheid kan in ieder geval geen back-up installeren: van het overgrote deel van de getroffen data is nooit een back-up gemaakt. Het bleek dat het maken van back-ups voor de getroffen overheidsorganisaties optioneel was en geen verplichting. De Indonesische president heeft naar aanleiding daarvan bevel gegeven om audits uit te voeren bij datacenters van de overheid. Digitale burgerrechtengroep SAFEnet is een petitie gestart, waarin minister Budi Arie Setiadi van Communicatie en Informatica wordt opgeroepen om op te stappen.
Ransomware gang Brain Cipher announced they'll release decryption keys for free this Wednesday. They emphasized the need for cybersecurity funding and specialists. Apologies to Indonesia for the disruption. They request public acknowledgment of their decision. pic.twitter.com/FNNg0YsoAp
— Fusion Intelligence Center @ StealthMole (@stealthmole_int) July 1, 2024