Ransomwaregroep eist cyberaanval op die Japanse bierbrouwer tijdelijk stillegde

Ransomwaregroep Qilin heeft de cyberaanval op Asahi opgeëist, de grootste producent van bier en sterke drank in Japan. De fabrikant meldde vorige week dat hij gehackt was, waardoor de productie bij het bedrijf werd verhinderd. De bierproductie werd eind vorige week deels hervat.

De aanval op Asahi Group is op dinsdag opgeëist door Qilin, een bekende ransomwaregroep. Volgens de hackers hebben ze 27GB aan data gestolen van de drankproducent, goed voor ruim 9300 bestanden. Daaronder vallen financiële documenten, budgetten, contracten, naast de gegevens van medewerkers, interne plannen en meer.

Asahi maakte op 29 september bekend dat het is getroffen door een cyberaanval, waarbij de meeste van zijn fabrieken stil kwamen te liggen. Het bedrijf zei in een verklaring dat order- en leveringsactiviteiten werden geschrapt. Ook de callcenters van het bedrijf werden stilgelegd. De storing bleef beperkt tot de binnenlandse activiteiten in Japan.

Vorige week bleek al dat daardoor tekorten aan producten van het bedrijf konden ontstaan. Verschillende retailers meldden dat de leveringen van bijvoorbeeld Asahi Super Dry, het populairste bier in Japan, in het gedrang kwamen, schreef onder andere de NOS.

Op 2 oktober werd de bierproductie in zes van Asahi's fabrieken geleidelijk hervat, meldde persbureau Reuters eerder deze week. Het bedrijf zei toen ook dat de leveringen van zijn Super Dry-bier ook weer waren begonnen, en dat deze week ook verschillende andere producten weer leverbaar zullen zijn.

Asahi Group meldde vorige week dat er geen aanwijzingen waren dat er persoonlijke gegevens zijn uitgelekt, maar het bedrijf zei later dat er toch wel 'sporen' waren die wezen op een 'mogelijke ongeoorloofde overdracht van gegevens'. Qilin claimt nu dus dat het gegevens van Asahi-personeel heeft gestolen. Om wat voor gegevens dat precies gaat, is niet bekend.

Reacties (38)

Sito 8 oktober 2025 09:02

We zullen het waarschijnlijk nooit te horen krijgen, maar ik ben benieuwd hoe ze de hackers zijn binnengedrongen.

Japan staat er om bekend dat ze redelijk conservatief zijn in de IT, niet veel innoveren en vasthouden aan oude technieken. Op het gebied van websites is dit goed te zien:

Central Japan Railway Company (klik maar eens op de 'login' knop)
Toyota Rent-a-Car (vooral te zien bij het maken van een reservering. Gebouwd op .NET Framework (met WebForms), wat een verouderde techniek is. Afhankelijk van de Windows Server versie waar het op draait krijg je wel of geen security updates

Een verouderde techniek gebruiken hoeft niet veel te zeggen, maar het toont wel aan dat de innovatie op dat gebied ver te zoeken is. Of niet durven te innoveren.

Dit wordt ook verder uitgelegd door bijvoorbeeld Channel News Asia.

[Reactie gewijzigd door Sito op 8 oktober 2025 09:03]

Zorg 7 oktober 2025 21:21

Wat ik toch wat moeilijk vind in dit soort berichten. Waar zit nu echt de fout? Natuurlijk bedrijven afpersen is per definitie heel erg fout! Maar aan de andere kant, ik denk dat elke IT-er wel voorbeelden kan geven waar zijn/haar werkgever aan het besparen is op IT. Onder de noemer het is allemaal niet zo moeilijk en nodig. Om het daarna af te doen met een mea culpa en wat pers-bestrijding. B2B zoals in dit voorbeeld zal zich enigszins wel oplossen met afrekening via klanten (hoewel die vaak zelf net zoveel kans hebben dus het ook wel begrijpen) maar B2C zou wat mij betreft echt wel strenger aangepakt mogen worden! Daar zie je toch nog te vaak een algemene email en klaar. Terwijl persoonsgegevens gewoon op straat komen te liggen......

EricBruggema @Zorg • 7 oktober 2025 21:30

Wat ik mij niet kan voorstellen is dat er zoveel GB's/TB's worden gedownloaded en dat dat gewoon kan en er blijkbaar niet ergens een belletje gaat rinkelen van heey gebruiker x haalt zoveel bestanden op?... maar goed systemen beheren tegenwoordig is ook geen klein klusje meer.

kimborntobewild @EricBruggema • 8 oktober 2025 04:33

Een paar MB kan al uiterst bedrijfsgevoelige data bevatten. Stopzetten van grote datatransfers helpt dan dus niet. En alleen monitoring helpt natuurlijk sowieso nooit.

sjdw @EricBruggema • 7 oktober 2025 21:35

Hacker doen het vaak heel rustig aan en verbergen zich ook vaak. Verkeer kan ook via VPS'a gaan waardoor je die stroom niet snel terug ziet.

Daarnaast vind ik 27 GB niet veel.

EricBruggema @sjdw • 7 oktober 2025 21:41

Wat niet veel hoeft te lijken kan anders heel veel zijn. Dus de grote hoeft ingepakt niet veel te zeggen.

Zorg @EricBruggema • 7 oktober 2025 21:33

Ik benniet zo heel lang geleden op het matje geroepen omdat ik 500Gb aan het verplaatsen was. Nu ben ik geen security expert maar blijkbaar was daar toch iets een trigger die ik geactiveerd had. Maar 5Gb aan klantendata zal toch echt niet opvallen vermoed ik (en dus wel zeer waardevolle informatie)

EricBruggema @Zorg • 7 oktober 2025 21:38

Gaat hier om

'27GB aan data gestolen van de drankproducent, goed voor ruim 9300 bestanden"

En dus als je nagaat dat de meeste wijzigingen klein zijn zou je verwachten dat er toch wel een limiet belletje zou moeten gaan rinkelen, zeker als iemand opeens xxx+ bestanden gaat kopiëren.

Maar goed, ik ben geen systeem beheerder of heb daar dan ook enig ervaring mee anders dan een webserver installeren op eigen pc

maar toch verwacht ik wel van grotere bedrijven / netwerken dat dit soort beveiligingen tegenwoordig iets van standaard zouden moeten zijn.

Niema @EricBruggema • 7 oktober 2025 21:56

Vlgns mij zitten sommige ransomwarebandes echt vet lang in het systeem voordat ze toeslaan. Dit lijkt best een grote aanval te zijn.

kimborntobewild @Niema • 8 oktober 2025 04:19

Het is vaak (niet altijd) een kwestie van: ze zijn helemaal binnen, of helemaal niet. Het is dus sowieso vaak een kwestie van: óf een 'grote' aanval, óf een mislukte aanval. Als ze eenmaal domainadmin-rechren hebben, is er in de meeste gevallen geen houden meer aan.

kimborntobewild @Zorg • 8 oktober 2025 04:15

Achteraf op het matje roepen helpt niet, in gevallen waar data gelekt wordt. Sterker nog: als het niet de bedoeling is dat er zoveel data wordt verplaatst of gekopieerd, en het gebeurt toch, dan zijn er dus geen waarborgen tegen. Alleen dataverplaarsing of datakopiëring monitoren is uiteraard onvoldoende als je dat wilt gebruiken om datadiefstal wilt voorkomen. Stel, een transporteur zet 1000 goudstaven op de stoep van een bank, vol met posters 'afblijven', en je zet er camera's op. Daar heb je alsnog niks aan, als gemaskerden het goud meenemen. Mooi dat je beelden hebt, maar alsnog is het goud weg.

cyclone @Zorg • 8 oktober 2025 09:15

Ik neem aan dat je dat in 1 grote batch deed en ja dan kun je over een drempel heen gaan die een belletje laat rinkelen in het SoC.
Als hacker ben je bekend met dergelijke mogelijkheden en ga je gewoon kalm te werk en doe je de ex-filtratie of heul kalm aan (onder de gig per dag) of verdeel je de workload over meerdere workstations / servers waar het niet perse opvalt en je toch controle over hebt.

Tis puur een kat en muis spelletje waar je als red teamer / hacker slim gaat kijken welke mogelijkheden die je hebt om alarmen te omzeilen. Compleet andere denkwijze dan iemand zoals jij die wellicht wat zaken wil opruimen en of verplaatsen en dat gewoon hop in 1 keer op volle snelheid doet.

bzzzt @EricBruggema • 7 oktober 2025 21:40

Je kan natuurlijk prima 'onder de radar' blijven door downloads op te splitsen. Daarnaast is het qua netwerk monitoring vrijwel onmogelijk om het verschil te zien tussen legitieme grote bestanden als video of software updates en data exfiltratie. Zeker bij bedrijven met honderden werknemers is 27Gb een afrondingsfout.

Er zijn alarmeringssystemen voor (zoek op SIEM) maar om afwijkend gedrag te kunnen detecteren moet er wel een redelijk strakke beschrijving zijn van wat normaal gedrag is. Alles dichttimmeren is een duur project en beperkt ook hoe flexibel er gewerkt kan worden.

phoenix2149 @EricBruggema • 8 oktober 2025 09:26

Hier verschepen we makkelijk datasets van 20-100 GB dagelijks over het netwerk. Je zou dit kunnen monitoren omdat dit via specifieke tools gaat (denk an WeTransfer, niet dat we dit mogen gebruiken overigens) waardoor andere poorten/kanalen niet zo veel behoren te verschepen.

Ik denk, zoals ik ook met de medische hacks, privacy gevoelige data gewoon versleuteld moet zijn met de persoon waarvan de data is als hoofd beslisser of het ingezien mag worden door derde middels een 2FA manier.

Toegegeven, het is misschien omslachtig. Maar als we niet iets ondernemen om je eigen data onder controle te houden voor de pech, of onkunde, van een werkgever, zorg instelling, farmaceutisch bedrijf te beschermen dan blijft dit maar doorgaan. Ook dat is niet water dicht maar op zijn minst heb je soort van controle over je persoonlijke data en ben je zelf verantwoordelijk als je in een toegangsverzoek van derden trapt.

telenut @EricBruggema • 7 oktober 2025 22:30

Manueel niet te zien, maar er zijn software oplossingen die dit monitoren; vb: https://www.vectra.ai/

Blokker_1999

Ransomware
Japan
Beveiliging en antivirus

@EricBruggema • 8 oktober 2025 02:43

Maar hoe ga je dat goed monitoren?

Er zijn zovele manieren om grote hoeveelheden data naar buiten te duwen zonder dat het opvalt. Als jij een datastroom van enkele honderden kilobytes per seconde start waarbij je telkens van endpoint wisselt waar je data naartoe stuurt, dan valt dat letterlijk nergens op.

En als je in een bedrijf werkt waar regelmatig grote hoeveelheden data uitgewisseld worden met externe bedrijven dan kan je zelfs gewoon de lijn verzadigen zonder dat iemand het opmerkt.

Maar stel dat er wel een systeem is dat het opmerkt. Ik ben nog geen omgeving tegengekomen die onmiddelijk het internet gaat dichtzetten. Dus tegen dat men doorheeft wat er aan de hand is, is het meestal ook gewoon te laat.

nopcode @Blokker_1999 • 8 oktober 2025 18:43

Een "Large Upload" of een "Many Small Uploads" detecteren is niet zo moeilijk, een goede XDR kan dat OOTB.

Het probleem is dat je eerst een policy moet forceren met 1 gestandaardiseerde data exchange oplossing, want anders zijn die detecties nutteloos.

SHFT @Zorg • 7 oktober 2025 21:47

Zelden krijg je de technische kant van het verhaal. Wat jammer is want we kunnen veel van elkaar leren in de strijd tegen cybercriminaliteit.

EricBruggema @SHFT • 7 oktober 2025 21:53

Ik kan mij voorstellen dat een bedrijf wat een 'grote' fout heeft gemaakt dit natuurlijk niet gaat openbaren, dat zou de ondergang van het bedrijf kunnen betekenen. Want ook in de ICT worden veel dingen over het hoofd gezien of juist niet gedaan om wat voor reden dan ook of gewoon niet aan gedacht...

Blokker_1999

Ransomware
Japan
Beveiliging en antivirus

@SHFT • 8 oktober 2025 02:38

De technische kant wordt vak wel gedeeld, maar in tegenstelling tot wat velen wensen gebeurt dat niet in de eerste dagen of weken na een incident. Dat duurt meestal maanden voordat men met details naar buiten wenst te komen, en op dat moment is de aandacht meestal al verdwenen en kijkt niemand er nog naar om behalve die bedrijven voor wie het hun werk is om het te weten. En anderen in de sector lezen het dannog eens een stuk later in de jarlijkse rapporten die beveiligingsbedrijven schrijven.

kimborntobewild @Blokker_1999 • 8 oktober 2025 04:23

De technische kant wordt zeer zelden gedeeld, ook niet na maanden.

Cid Highwind @kimborntobewild • 8 oktober 2025 08:57

De technische kant is vaak ook een menselijke kant en dan wordt het al heel snel politiek. Ergens is immers iemand verantwoordelijk en de eindverantwoordelijke heeft vaak een zware stempel op wat en hoe precies er extern gecommuniceerd wordt. Zolang er geen wettelijke noodzaak is, hangt men de vuile was niet buiten.

EricBruggema @Blokker_1999 • 8 oktober 2025 21:27

Ik ben dan stiekem wel benieuwd naar bronnen. Want echt vinden deed ik niets..

Daarnaast zullen deze bedrijven hun blunders echt niet delen met de wereld, eventueel wel met een con collega maar dan niet via de officiële kanalen. Zo'n blamage wil je niet in de publiciteit en door die hack heb je sowieso al veel gezeur gehad.

Dus nogmaals, ben benieuwd naar je bronnen/ervaringen

Zorg @SHFT • 8 oktober 2025 07:30

Zelden krijg je de technische kant van het verhaal. Wat jammer is want we kunnen veel van elkaar leren in de strijd tegen cybercriminaliteit.

Een interessante podcast is hackers diaries, die verteld wel de andere kant van het verhaal. En wat mij opviel het is in wezen niet veel veranderd! In mijn oude "hacker" dagen ging het ook om scannen op exploits en die gebruiken. Alleen hebben die zich ook steeds verder ontwikkeld en is het nu veel beter (professioneler) georganiseerd.

kimborntobewild @Zorg • 10 oktober 2025 15:04

Ik hoop dat je een white hat hacker was.

Zorg @kimborntobewild • 10 oktober 2025 17:24

Dat was één van de leukere podcast waarin een hacker stelt dat er niet zoiets is als white / black-hat hackers

van dus iemand die nu nog in die scene zit:

Darknet Diaries | 151: Chris Rock https://www.podbean.com/ea/dir-a7nwu-220754d6

Black-hats die white-hats jobs aannemen en een data ethiek in het midden oosten die wezenlijk anders is tov rest vd wereld, interessante aflevering!

Ik was maar een garnaaltje! Wij deden IIS servers scannen die slecht waren ingericht om zo onze warez te storen die we dan konden sharen met anderen. Niet echt white-hat maar ja, je bent jong en alles is spannend

Zullen weinig gewonden zijn gevallen! We gingen toch voor High speed servers dus MKB had dat sowieso nog niet, wel grotere bedrijven. Dus ja die zullen wel een hogere kosten hebben gehad op hun IT budget

jotheman @Zorg • 7 oktober 2025 21:42

Je stelling over "B2B die het wel begrijpt", daarvan vrees ik eerder exact het tegenovergesteld. In het verleden heb ik gewerkt bij een organisatie die hun DR-processen en dergelijke erg goed op orde hadden, gebaseerd op "wat ze konden hebben" qua plat liggen. De essentie kwam erop neer: Als we even stilliggen qua productie is er niet direct nood aan de man (ivm voorraden etc), maar door de boetes die stonden op niet tijdig/volledig leveren richting klanten zouden ze binnen 2 dagen financieel "dood" zijn doordat die boetes gewoon zo ontzettend hard aantikten.

Doet de situatie zich voor dan zijn afnemers wellicht genadig, maar daar kun je niet vanuit gaan. Dus B2B kan je kei- en keihard een nekslag geven die je in dit type situatie als je niet uitkijkt zelfs de das om kan doen.

Zorg @jotheman • 8 oktober 2025 07:33

Klopt daar heb je helemaal gelijk in! Het kan natuurlijk financiële consequenties hebben die niet te overzien zijn. Wel is het deels op te vangen met verzekeringen maar dat geldt vast ook voor B2C

-Elmer- @Zorg • 8 oktober 2025 04:00

... maar B2C zou wat mij betreft echt wel strenger aangepakt mogen worden! Daar zie je toch nog te vaak een algemene email en klaar. Terwijl persoonsgegevens gewoon op straat komen te liggen......

Met de komst van de NIS2, in Nederland vertaald naar de Cyberveiligingwet, komen er voor "belangrijke en kritieke entiteiten" strengere regels waar ze aan moeten voldoen met betrekking tot informatiebeveiliging. Als deze fabrikant in de EU zat zou ik denken dat ze onder die wetgeving zouden gaan vallen.

Daarnaast kennen we in de EU de GDPR/AVG, wat ook echt wel betekenis heeft. Wanneer een bedrijf onvoldoende zorgvuldig is omgesprongen met persoonsgegevens en daardoor een datalek met persoonsgegevens is ontstaan, is het niet onwaarschijnlijk dat er een (fikse) boete volgt. Het aantonen van die onzorgvuldigheid is echter lastig. Want zoals je terecht aangeeft: iedereen kan het slachtoffer worden, hoe goed je je zaken ook op orde hebt.

Maar ja, deze brouwer zit in Japan en niet in de EU en ik weet niet welke eisen daar gelden.

[Reactie gewijzigd door -Elmer- op 8 oktober 2025 04:03]

Scriptkid @Zorg • 7 oktober 2025 23:04

Standaard antwoord tijdens assements is dat het te duur is.

Bkim @Zorg • 8 oktober 2025 06:03

Welke woning heeft goed hang en sluitwerk? Diegene bij wie is ingebroken. En voor de rest hoopt iedereen dat de buren het slachtoffer wordt. Want waarom duizenden euro's uitgeven aan goed hang en sluitwerk als er niets gebeurt...

En goed hang en sluitwerk heeft alleen effect op de gelegenheids inbreker. Want als ze willen, komen ze binnen en dat geldt ook voor ict.

StGermain 7 oktober 2025 22:44

Zowiezo zou er wereldwijd een verbod moeten komen op het betalen van afpersers,als het niet meer lucratief is stopt het toch, of deed deze groep het enkel om de sport?

[Reactie gewijzigd door StGermain op 7 oktober 2025 22:45]

deathrow1986 @StGermain • 8 oktober 2025 00:01

Probleem dan is dat het zich achter gesloten deuren gaat afspelen. In plaats van gelijk de publiciteit opzoeken met een hack en informatie mbt de gestolen gegevens, zullen ze zich achter de gesloten deuren melden bij het management. Het bedrijf zal zich dan ook sneller in een hoek gedreven voelen gezien het enige wat de hacker hoeft te doen is de publiciteit opzoeken, en elke kans tot het betalen van ransom (en een mogelijke snelle oplossing) is weg. Mochten de hackers dan wel serieus zijn, hoeven ze maar eenmaal een trekker over te halen binnen een multinational, en elk bedrijf zal het liever onder te tafel houden.

En dan nog een stap verder. Op het moment dat ransom eisen niet meer werkt, dan worden de gegevens gewoon verkocht. Daar zijn ook miljoenen mee te verdienen in de markten waar zij zich kunnen begeven.

Dus een verbod is te kort door de bocht. Het zou mooi zijn, maar dan houd je vast aan een ideaal waar de overtreder zich nooit aan zal gaan houden. En dus is elke slag bij voorbaat al verloren voor gehackte partij.

Zolang hackers de data nog steeds via obscure paden kan verkopen. Paden en klanten waar wij nagenoeg niet achter kunnen gaan komen. De kopende partijen redenen hebben waar wij alleen maar naar kunnen raden. Zolang dat alles speelt, is nagenoeg elke counteractie niet productief in het grote geheel.

kimborntobewild @deathrow1986 • 8 oktober 2025 04:30

Het zou m.i. wel degelijk productief zijn, als je het betalen van de afpersers verbiedt. Het feit dat privacy-data is gelekt, is ook al verplicht om te melden. Ja, het gevolg kan zijn dat het bedrijf dan failliet gaat. Niks aan te doen. Je wonden likken en doorgaan, of niet.

Het zou nog strenger moeten zijn: zodra je weet dat je met afpersers te maken hebt, zou je elke communicatie met ze moeten stoppen.

Terr-E

@kimborntobewild • 8 oktober 2025 10:46

Zou je dan een boete opleggen als er geld aan de afpersers betaald wordt?
Zodat het nóg duurder wordt om toe te geven aan dergelijke boevenbendes?

kimborntobewild @Terr-E • 10 oktober 2025 15:01

Zou je dan een boete opleggen als er geld aan de afpersers betaald wordt?

Strafrechtelijk vervolgen en gevangenisstraf.
Als je criminaliteit bevordert, moeten daar consequenties aan verbonden zijn.
En boete kan ook: bijv. 10x hetgene wat je aan de afpersers hebt betaald.
Bedrijf dan daardoor failliet? Jammer dan. Had je criminaliteit maar niet moeten bevorderen.

Blokker_1999

Ransomware
Japan
Beveiliging en antivirus

@StGermain • 8 oktober 2025 02:45

Nee hoor, ik heb een consultancy firma op de Bahama's ingehuurd en zij hebben voor 50 miljoen het probleem opgelost. Hier is het contract, hier is de factuur, alles is in orde. Wat zij met dat geld gedaan hebben? Geen enkel idee.

deathrow1986 @Blokker_1999 • 8 oktober 2025 09:04

Dat dus. Duizenden manieren om hier mee om te gaan en geen van allen zal er voor zorgen dat een verbod ook maar iets uithaalt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (38)

Sorteer op:

Weergave: