'Ransomwaregroep die Indonesische overheid platlegde deelt decryptiesleutel'

De criminele groep die het nationale datacenter van Indonesië infecteerde met ransomware, lijkt tot inkeer te zijn gekomen. Volgens StealthMole, een bedrijf gespecialiseerd in dark web intelligence, heeft de groepering de decryptiesleutel gratis met de Indonesische overheid gedeeld.

De groepering, Brain Cipher genaamd, viel op 20 juni het tijdelijke Nationale Datacenter van Indonesië aan met een variant van de LockBit 3.0-malware. Ongeveer tweehonderd overheidsorganisaties werden door de aanval getroffen. De criminelen eisten 8 miljoen dollar aan losgeld, maar de Indonesische overheid zei al snel dat niet te gaan betalen.

Nu lijkt Brain Cipher tot inkeer te zijn gekomen. StealthMole heeft op X een screenshot gedeeld van een verklaring van de groepering, signaleert The Register. Daarin zegt de groep de decryptiesleutels gratis te delen met de overheid. Via een link is de decryptiesleutel te downloaden, die volgens Brian Cipher alleen werkt voor het Indonesische datacenter. Of de decryptiesleutel daadwerkelijk werkt, is nog niet bevestigd. The Register heeft StealthMole om bewijs gevraagd van de authenticiteit van de verklaring van de ransomwaregroep.

In de verklaring wordt ook de motivatie voor de aanval gedeeld: Brain Cipher voerde naar eigen zeggen een pentest uit, met een betaling achteraf. "Hopelijk heeft onze aanval duidelijk gemaakt hoe belangrijk het is om de industrie te financieren en gekwalificeerde specialisten in te huren." Verder worden excuses gemaakt aan de bevolking van Indonesië, al wil Brain Cipher tegelijkertijd 'dankbaarheid' van de bevolking, omdat ze 'bewust en onafhankelijk' besloten hebben de decryptiesleutel te delen. Ook wordt een link naar een Monero-wallet gedeeld, waar donaties achtergelaten kunnen worden.

De Indonesische overheid zei eerder al tegenover Reuters dat zij zelf probeert de data te ontsleutelen. De verwachting is dat alle overheidsdiensten tegen augustus weer operationeel zijn. Opvallend is dat Brain Cipher in de verklaring waarschuwt dat als de overheid zelf of met hulp van derde partijen de data herstelt, alle gestolen data online gepubliceerd wordt.

De overheid kan in ieder geval geen back-up installeren: van het overgrote deel van de getroffen data is nooit een back-up gemaakt. Het bleek dat het maken van back-ups voor de getroffen overheidsorganisaties optioneel was en geen verplichting. De Indonesische president heeft naar aanleiding daarvan bevel gegeven om audits uit te voeren bij datacenters van de overheid. Digitale burgerrechtengroep SAFEnet is een petitie gestart, waarin minister Budi Arie Setiadi van Communicatie en Informatica wordt opgeroepen om op te stappen.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 04-07-2024 11:19 52

04-07-2024 • 11:19

52

Lees meer

AI als hulpmiddel voor cybercriminelen

11 aug 2024

AI als hulpmiddel voor cybercriminelen

ChatGPT betekent nog geen revolutie in malware

56
Openbaar Ministerie haalt systemen offline vanwege mogelijk ict-incident
Openbaar Ministerie haalt systemen offline vanwege mogelijk ict-incident Nieuws van 28 maart 2025
RansomHub is grootste ransomwarebende sinds LockBit werd neergehaald
RansomHub is grootste ransomwarebende sinds LockBit werd neergehaald Nieuws van 14 februari 2025
Bouwmarkt Groenhart getroffen door ransomwareaanval, gegevens klanten gestolen
Bouwmarkt Groenhart getroffen door ransomwareaanval, gegevens klanten gestolen Nieuws van 24 december 2024
Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie
Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie Nieuws van 2 oktober 2024
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline Nieuws van 13 augustus 2024
Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord
Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord Nieuws van 19 juli 2024
Europol haalt Cobalt Strike-servers offline die werden gebruikt door criminelen
Europol haalt Cobalt Strike-servers offline die werden gebruikt door criminelen Nieuws van 3 juli 2024
VS looft beloning van 10 miljoen dollar uit voor Russische hacker
VS looft beloning van 10 miljoen dollar uit voor Russische hacker Nieuws van 28 juni 2024
EU plaatst zes Russische hackers op sanctielijst
EU plaatst zes Russische hackers op sanctielijst Nieuws van 24 juni 2024
Ransomwarebende lekt 380GB aan patiëntendata van Engelse zorgorganisatie
Ransomwarebende lekt 380GB aan patiëntendata van Engelse zorgorganisatie Nieuws van 21 juni 2024
CISA waarschuwt voor misbruik van Windows-lek bij ransomwareaanvallen
CISA waarschuwt voor misbruik van Windows-lek bij ransomwareaanvallen Nieuws van 14 juni 2024
FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware
FBI heeft ruim 7000 decryptiesleutels voor LockBit-ransomware Nieuws van 6 juni 2024
Bol bevestigt dat klantdata mogelijk gestolen is bij AddComm-aanval
Bol bevestigt dat klantdata mogelijk gestolen is bij AddComm-aanval Nieuws van 4 juni 2024
Meer producten en artikelen
Beveiliging en antivirus Backup Criminaliteit Ransomware

Reacties (52)

-Moderatie-faq
52
52
29
0
0
7
Wijzig sortering

Sorteer op:

Weergave:
deknegt 4 juli 2024 11:25
Wat is de kans dat dit niet een situatie is waar er wel betaald is, maar in de betaling afgesproken is dat dit 'gratis' is om gezichtsschade voor de regering te minimaliseren?
raym @deknegt4 juli 2024 11:58
Rusland heeft weinig bondgenoten en zolang Indonesie nog neutraal is zal Rusland hier geen vijand willen creeeren.

Ik denk dat de daders een kort maar duidelijk bezoekje hebben gehad van de overheid.
The_Woesh @raym4 juli 2024 12:25
Dat, of de Indonesische versie van de CIA heeft de hackers netjes gevraagd de sleutels te overhandigen als ze nog willen blijven leven. Het rechterlijk vervolgen van hackers uit andere landen is lastig maar in het kader van nationale veiligheid kunnen de geheime diensten natuurlijk wel heel wat.
-=bas=- @The_Woesh4 juli 2024 13:04
Zulke hackers leven als een koning in de Oekraine, Romenie of zo'n ander land.
Als een veiligheidsdienst wist wie er achter zaten dan was dat al lang gedeeld met andere diensten.
magician2000 @-=bas=-4 juli 2024 20:48
Het is, zeker in deze tijd van oorlogen, nogal gevaarlijk om zomaar landen te gaan noemen en de indruk te wekken dat het (in dit geval) Oekraïners, Romeniërs, of mensen van dat soort nationaliteiten zijn. Het kunnen net zo goed Russen zijn die vanuit die landen opereren (om maar een voorbeeld te noemen van een land dat wel baat heeft bij negatieve berichtgeving over bepaalde landen).
gitaarwerk @magician20004 juli 2024 22:54
Dat gebeurt toch regelmatig? soms zijn het ook sympathysanten, soms staatshackers,… soms is het ook gewoon uitlokken.
gitaarwerk @-=bas=-4 juli 2024 14:58
Ik denk dat hackers veelal onderschatten wanneer ze echt schade doen, dat ze vrij blijven leven. Attributie is een van de lastigste dingen, maar wanneer dat wel lukt, al is dat later,... dan kan het zomaar zijn dat deze personen niets meer van gehoord worden. En dat geldt ook voor westerse landen. Nu zijn die aantallen heel laag waarvan er ooit een verhaal is. Dus zeker is het niet. Ik ben niet echt van de complottheorien, maar er zitten soms best waarheden tussen. Zelf nog niet meegemaakt in ieder geval. :+
watabstract @gitaarwerk4 juli 2024 15:40
Ik heb hem even op moeten zoeken maar attributie betekent dus toeschrijving, en in deze context van een daad aan personen. Dus in gewone mensentaal: de daders opsporen. Maar inderdaad, een overheid aanvallen is wel het laatste wat ik zou doen. Dan sta je al snel vrij machteloos, ook tegenover een land als Indonesië.
gitaarwerk @watabstract4 juli 2024 16:08
Sorry, ik ben zo slecht in terminologie, dat als ik er eentje wel weet, ik 'm dan gebruik :+.

Maar eens. Mocht je wel door het land waarin je zit wordt gepakt, op instructie danwelniet stil, wordt je ook een asset om mee te onderhandelen. Dus het is echt geen fijne positie.

In tegenstelling wanneer je gepakt wordt voor dingen als handel in verboden middelen, waarbij je juist gebruikt kan worden als afschrikmiddel. Overigens ook geen leuke positie.

Die laatste is nogal lastig. Hoewel ik die ten zeerste afkeur, is het soms heel scheef. Darkweb Diaries heeft een aflevering over iemand die wordt opgepakt. Tuurlijk heeft die persoon tegen willens en wetens spul als fentanyl verkocht, wat echt de grootste troep is momenteel op de markt... maar zet dat eens af tegen de bedrijven die dit hebben ontwikkeld, bewust het middel heeft gemaakt, gedistribueerd, voorgeschreven, artsen over gehaald en veel meer grootschalige slachtoffers heeft gemaakt. Deze lui blijven vrij rondlopen met een grote zak geld toe. Dat is onbegrijpelijk.

Voordat ik verder afdwaal.... don't fuck with governments :Y)
watabstract @gitaarwerk4 juli 2024 16:16
Ik heb twee jaar geleden fentanyl toegediend gekregen in het ziekenhuis. Als je het echt nodig hebt dan is het maar wat fijn dat het bestaat. Elk middel kan misbruikt worden, op kleine en grote schaal, maar ik was maar wat blij dat het er is. Ik ben het er wel mee eens dat er genoeg lui rondlopen die wel eens verantwoording mogen afleggen op persoonlijke titel. De olie-industrie loopt er ook vol mee. Er zijn meer witteboordencriminelen dan mensen die daadwerkelijk veroordeeld zijn voor een rechter.
gitaarwerk @watabstract4 juli 2024 16:43
Compleet mee eens; Als er echt op toegekeken wordt, kunnen deze middelen goed gebruikt worden. Nuance zit dan wel in op het feit dat het te pas en te onpas werd toegekend. Maar dat kan inderdaad ook bij fossiele brandstoffen industrie zijn, en eigenlijk iedere waar de belangen voor natuur of volk minder wegen dan de economische voor een relatief kleine groep mensen. Maar helaas :9. Fijn dat het voor jou dus wel heeft gewerkt. Dat mag inderdaad ook gezegd worden.
magician2000 @gitaarwerk4 juli 2024 20:49
We komen vanavond wel even langs O-)
gitaarwerk @magician20004 juli 2024 22:53
OK :p Niet die stick dan in de computer doen die zegt: “usbkill” 😅
magician2000 @gitaarwerk5 juli 2024 21:01
Bedankt voor de waarschuwing.
gitaarwerk @magician20005 juli 2024 22:10
zit wel snor
CivLord @-=bas=-5 juli 2024 11:04
Misschien weten ze allang wie achter dit soort hackersgroepen zitten. Maar zolang ze zich enkel als crimineel gedragen tegenover burgers en bedrijven, heb je daar weinig aan, wanneer de overheid van het betreffende land niet mee wil werken. Zelf een 'uitlevering' verzorgen door ze op te halen ligt diplomatiek en juridisch lastig voor criminelen.
Wanneer ze echter instituties van een land zelf aanvallen, dan spelen diplomatieke problemen een stuk minder (diplomatieke klachten tellen dan een stuk minder zwaar mee in de besluitvorming en er is meestal wel enig begrip voor) en juridisch zijn er dan ook minder strikte regels. Politiek zijn er ook minder problemen om buiten alle regels om dergelijke 'staatsgevaarlijke terroristen' te laten verdwijnen of 'uit het raam te laten vallen' dan om dat bij 'normale' criminelen te riskeren.
Hatseflats @The_Woesh5 juli 2024 03:40
Kan ook, maar de volgende keer krijg je dan bepaalde groepen, die geweld ook niet schuwen. Iedereen kan nl. dood. Waar een wil is, is een weg. Kijk maar naar onze narcostaat en de gevolgen voor bepaalde mensen. En geen enkele speciale eenheid is hier tegen opgewassen.

Als dat nl. wel zo zou zijn, dan zouden oorlogen snel beslist zijn.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 16:28]

icecreamfarmer @raym4 juli 2024 12:11
Dit plus je bent je leven niet zeker. Dit is een aanval van zo'n schaal dat het een moordcommando rechtvaardigt.
curkey @raym4 juli 2024 19:43
De encryptie het raam uit, of jij. Zoiets zal het wel geklonken hebben in het Russisch
Hatseflats @deknegt4 juli 2024 11:29
Met aan zekerheid grenzende waarschijnlijkheid. Meer dan hier te lande gaat het daar om status en gezichtsverlies.
echtwaar? @Hatseflats4 juli 2024 11:55
Of een overheid die mensenrechten niet zo nauw neemt wanneer zulke dingen spelen.
Dat is niet wenselijk maar wel effectief.
oef! @Hatseflats4 juli 2024 12:16
Dat kun je niet zomaar aannemen. Het zal niet de eerste keer zijn dat hackers terugkomen op hun acties.
Hatseflats @oef!5 juli 2024 03:26
Dat staat er ook niet, goed lezen. Er zullen wel goede tussen zitten met verstand van zaken, maar van het deel wat ik aldaar heb gezien is het huilen met de pet op qua ICT.

Een tijd geleden ging men een nieuwe onderzeese internetkabel aanleggen die Azie beter zou verbinden. 3 keer raden wie er niet meedeed.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 16:28]

Indy81 @deknegt4 juli 2024 13:43
Misschien raar om te zeggen, maar als dit waar is, dan geeft dit gezichtsschade aan hackersgroepen.

Hackersgroepen, hoe immoreel en illegaal ze ook zijn, staan wel bekend om een goede reputatie als je de losgeld betaalt. Op het moment dat een hackersgroep zijn afspraak niet nakomt na betaling, dan zal niemand meer bereid zijn om losgeld te betalen.

Dit valt in hetzelfde straatje: Als bekend word dat sleutels worden vrijgegeven als je niet betaalt, waarom zou je dan überhaupt nog betalen?
Bananaman123124 @Indy814 juli 2024 15:16
Ik verwacht zelf dat ze eerder een keuze hebben gekregen; letterlijk of figuurlijk gezichtsverlies?
dehardstyler 4 juli 2024 11:27
De overheid kan in ieder geval geen back-up installeren: van het overgrote deel van de getroffen data is nooit een back-up gemaakt. Het bleek dat het maken van back-ups voor de getroffen overheidsorganisaties optioneel was en geen verplichting.
Wauw. :/
Dat is wel heel ernstig.
al__in__gebruik @dehardstyler4 juli 2024 11:33
Is het hebben van backups soms wel verplicht? In de ziekenzorg ofzo?
CAPSLOCK2000
@al__in__gebruik4 juli 2024 12:03
Of het verplicht is of niet, als professionele IT'er hoor je het belang van backups in te zien. Het is vast vooral een kwestie van geld en politiek dat er geen backups gemaakt worden, maar eigenlijk is er geen goed excuus mogelijk (in het algemeen, ik weet niet wat voor data het is, er zijn echt wel gevallen waarin backups niet nodig/zinnig zijn, maar die nuance voegen wel toe nadat er algemeen backupplan is opgesteld ).
Frame164 @CAPSLOCK20004 juli 2024 12:57
Het is te makkelijk om naar geld en politiek te wijzen. In mijn carriere ben ik toch al vaak genoeg IT-ers tegengekomen die het teveel gedoe vonden om een backupstrategie te ontwerpen en te implementeren. "Als het fout gaat installeer ik het wel even opnieuw, veel makkelijker" en meer van dat soort kreten. En als het wel met geld en politiek te maken heeft zou je als professionele IT-er moeten weigeren er aan mee te werken. Een piloot gaat niet de lucht in als het vliegtuig niet voldoet en een chirurg gaat niet snijden zonder gesteriliseerd gereedschap.
DigitalExorcist @Frame1644 juli 2024 14:39
Met een domaincontroller is dat niet zo ingewikkeld (als het niet je primary is dan). Een printservertje is ook nog wel te overzien. Het wordt pas irritant als er databaseservers plat gaan en er geen backup lijkt te zijn....
Theone098 @Frame1644 juli 2024 14:43
In jouw voorbeeld gaat het denk ik om het opbouwen van systemen en niet om data. Voor sommige eenvoudige systemen is het makkelijker om het opnieuw te bouwen. Misschien mbv een backup van de settings.
In het artikel gaat het over data. Dat is niet opnieuw op te bouwen, tenzij de bron buiten jouw bereik ligt en de data snel kan worden verkregen.

M.a.w. het opnieuw opzetten van een systeem kan kosteneffectieve en eenvoudiger zijn dan een backup. Dit geldt (meestal) niet voor data.
HMS @al__in__gebruik4 juli 2024 11:54
Jazeker, zie de DORA wetgeving vanuit de EU bijvoorbeeld: https://www.eiopa.europa....al-resilience-act-dora_en
SVMartin @al__in__gebruik4 juli 2024 11:39
https://www.nen.nl/zorg-w...tiebeveiliging-in-de-zorg
GameNympho @dehardstyler4 juli 2024 11:29
Mijn gedachten ook.
onnovanhaarlem 4 juli 2024 11:45
Speculatie: een groot land als Indonesië met een verleden van geweldadige anticommunistische zuiveringen heeft een serieuze geheime dienst. Die heeft gedreigd om de hackers letterlijk te elimineren. Toen hebben die bakzeil gehaald.

(Als hacker kan je overal ter wereld zitten, maar als iemand met de middelen daartoe een hitman op je af dreigt te sturen, krijg je het toch wel benauwd.)
dva-nl @onnovanhaarlem4 juli 2024 11:57
Het zal mij niet eens verbazen als ze inderdaad een mannetje naar één van de hackers hebben gestuurd als een soort waarschuwing.

De andere optie dat er stilzwijgend toch iets is betaald klinkt ook nog wel waarschijnlijk.

De eerste optie zou wel goud zijn, dat betekend dat meer overheden bij een hack de druk op kunnen voeren, waardoor ze minder gehackt worden.
icecreamfarmer @dva-nl4 juli 2024 12:13
Ik denk het eerste. beetje het zelfde hoe Frankrijk omgaat met Somalische piraten. Soms worden ze eerst betaald en daarna uitgemoord.

Wikipedia: Carré d'As IV incident

[Reactie gewijzigd door icecreamfarmer op 22 juli 2024 16:28]

jdh009 @icecreamfarmer4 juli 2024 12:53
Ik denk het eerste. beetje het zelfde hoe Frankrijk omgaat met Somalische piraten. Soms worden ze eerst betaald en daarna uitgemoord.

Wikipedia: Carré d'As IV incident
Kun je dat iets meer toelichten? Het is nogal een statement dat je maakt. Zeker als ik de informatie uit het Carré d’As IV-incident lees.

Zoals ik het lees is in dat specifieke geval is er een jacht gekaapt waarna Franse speciale eenheden een reddingsoperatie uitvoerde, waarbij één piraat werd gedood en zes gevangen werden genomen (en berecht in Frankrijk). Dat noem ik niet echt betalen en uitmoorden, zoals je beschrijft.

[Reactie gewijzigd door jdh009 op 22 juli 2024 16:28]

icecreamfarmer @jdh0094 juli 2024 13:55
Was een ander incident idd. lastig terug te vinden nu omdat het zeker 15 jaar geleden is.

Er werd losgeld betaald en daarna hebben ze er commandos op afgestuurd om dat losgeld terug te krijgen en de daders te straffen.
chemokar 4 juli 2024 11:31
Haha, ze weten het wel mooi te verzinnen. Een pen test uitvoeren met betaling achteraf
CAPSLOCK2000
@chemokar4 juli 2024 12:05
Haha, ze weten het wel mooi te verzinnen. Een pen test uitvoeren met betaling achteraf
De regering wil ze graag bedanken met gratis kost & inwoning.
yinx84 4 juli 2024 11:27
Ik gok zo maar dat iemand uit die groep in de kijker bij de autoriteiten/politie is gekomen en de handdoek maar in ring heeft gegooid om erger te voorkomen.
MindBender 4 juli 2024 11:49
Of zou het vooruitzicht de rest van hun leven in een Indonesische gevangenis te moeten spenderen de doorslag gegeven hebben voor dit herziene inzicht?
Want als de Indonesische overheid dat nu alsnog doet, staat er voor toekomstige chanteurs misschien wel genoeg op het spel om de volgende keer wat langer na te denken.
CPV @MindBender4 juli 2024 13:31
Sinds wanneer zijn dit soort criminelen bang om gepakt te worden? Het zou in dat geval een stuk rustiger worden in ransomwareland.

Edit:
Aha, ik lees nu onnovanhaarlem's bijdrage. Dit klinkt aannemelijker.

[Reactie gewijzigd door CPV op 22 juli 2024 16:28]

bussie66 4 juli 2024 12:08
Het bleek dat het maken van back-ups voor de getroffen overheidsorganisaties optioneel was en geen verplichting.

8)7
bzuidgeest @bussie664 juli 2024 12:16
Niet alle data is belangrijk om te bewaren. Als de data opnieuw gegenereerd kan worden uit data die wel een back-up heeft, dan is een back-up van de gegenereerde data mogelijk nutteloos. Het zou op zijn hoogst de zaak kunnen versnellen als het genereren lang duurt.

Ik denk niet dat het hier het geval zou zijn, maar een back-up van sommige soorten data kan inderdaad prima optioneel zijn.

Een goed voorbeeld van data die mag verdwijnen is de "cache" van rapportages e.d. Complexe rapportages over data worden vaak gecached voor performance redenen, maar kunnen prima uit de bron data opnieuw worden gegenereerd. Je houd alleen een backup van de rapport definitie en de bron-data.
DutchEZmoder 4 juli 2024 13:01
Vorige week probeerde ik een paar keer een visum aan te vragen, kwam steeds een foutmelding, al was het uiteindelijk wel gelukt. Leek wel een server probleem te zijn, misschien dat deze hack ermee te maken had...
michealmcdermot 4 juli 2024 13:07
Opvallend is dat Brain Cipher in de verklaring waarschuwt dat als de overheid zelf of met hulp van derde partijen de data hersteld, alle gestolen data online gepubliceerd wordt.


Hersteld mag echt met een t geschreven worden...
DeTeraarist 4 juli 2024 13:56
"Deze link bevat een decryptie sleutel"

Klinkt ook niet verdacht ofzo.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq