E-mailaccounts die verbonden zijn met de Virginia Defense Force en het Virginia Department of Military Affairs werden in juli getroffen door een cyberaanval, aldus een woordvoerder van de Virginia National Guard.
A. A. Puryear, hoofd public affairs van de Virginia National Guard, vertelde ZDNet dat de organisatie in juli op de hoogte was gebracht van een mogelijke cyberdreiging tegen de Virginia Defense Force en onmiddellijk een onderzoek begon in samenwerking met nationale en federale cyberbeveiligings- en wetshandhavingsinstanties om bepalen wat de gevolgen waren
“Het onderzoek heeft uitgewezen dat de dreiging een impact had op de e-mailaccounts van VDF en Virginia Department of Military Affairs die worden beheerd door een gecontracteerde derde partij, en er zijn geen aanwijzingen dat de interne IT-infrastructuur of dataservers van VDF of DMA zijn geschonden of dat er gegevens zijn afgenomen”, aldus Puryear.
“Er zijn geen gevolgen voor de IT-infrastructuur van de Virginia Army National Guard of de Virginia Air National Guard. Het onderzoek is gaande met voortdurende coördinatie met staats- en federale partners om de volledige impact van de dreiging te bepalen en welke passende vervolgmaatregelen moeten worden genomen.”
De Virginia National Guard heeft niet gereageerd op vragen of het incident een ransomware-aanval was. Ook reageerden ze niet op vragen over welke e-mailadressen zijn opgevraagd en of slachtoffers al op de hoogte zijn gesteld.
Het Virginia Department of Military Affairs is het staatsagentschap dat de Virginia Army National Guard, Virginia Air National Guard en Virginia Defense Force ondersteunt. De Virginia Defense Force is de volledig vrijwilligersreserve van de Virginia National Guard en het “dient als een krachtvermenigvuldiger” geïntegreerd in alle binnenlandse operaties van de National Guard.
Op 20 augustus begon de Marketo-marktplaats voor gestolen gegevens met het publiceren van een schat aan gegevens die waren gestolen van het Virginia Department of Military Affairs. Ze beweerden dat ze 1 GB aan data beschikbaar hadden voor aankoop.
Experts hebben gezegd dat hoewel de operators achter Marketo geen ransomware-actoren zijn, het bekend is dat sommige gegevens op hun site tijdens ransomware-aanvallen zijn genomen en gepubliceerd als een manier om slachtoffers te dwingen losgeld te betalen.
Marketo kwam eerder in het nieuws vanwege de verkoop van de data van de Japanse techgigant Fujitsu. Digital Shadows schreef in juli een rapport over de groep en merkte op dat de groep in april 2021 werd opgericht en de gestolen gegevens vaak op de markt brengt via een Twitter-profiel met de naam @Mannus Gott.
De bende heeft herhaaldelijk beweerd dat het geen ransomware-groep is, maar een 'informatieve marktplaats'. Ondanks hun beweringen deelt hun Twitter-account regelmatig berichten die naar hen verwijzen als een ransomware-groep.
Allan Liska, onderdeel van het responsteam voor computerbeveiligingsincidenten bij Recorded Future, merkte op dat ze niet gebonden lijken te zijn aan een specifieke ransomware-groep.
“Ze hebben dezelfde route genomen als Babuk en zijn allemaal 'datalekken'. Voor zover wij weten, beweren ze niet zelf de gegevens te stelen, maar bieden ze in plaats daarvan een openbare uitlaatklep aan groepen die dat wel doen, of het nu gaat om ransomware of niet,” zei Liska.
Emsisoft-dreigingsanalist en ransomware-expert Brett Callow zei dat het nog steeds onduidelijk is hoe Marketo aan de gegevens komt die ze verkopen en voegde eraan toe dat het ook onduidelijk is of ze verantwoordelijk zijn voor de hacks of gewoon optreden als op commissie gebaseerde makelaars.
Hij voegde eraan toe dat enkele van de slachtoffers op Marketo's leksite onlangs werden getroffen door ransomware-aanvallen, waaronder X-Fab, die de Maze-ransomwaregroep in juli 2020 trof, en Luxottica, die werd getroffen door Nefiliim-ransomware in September.
“Dat gezegd hebbende, ten minste een deel van de gegevens die de bende heeft geprobeerd te verkopen, kan worden gekoppeld aan ransomware-aanvallen, waarvan sommige dateren van vorig jaar. Gelekte e-mails kunnen een reëel veiligheidsrisico vormen, niet alleen voor de organisatie waarvan ze afkomstig waren gestolen, maar ook aan zijn klanten en zakenpartners”, aldus Callow.
“Ze zijn een uitstekend lokaas voor spear phishing, omdat het bedreigingsactoren in staat stelt om uiterst overtuigende e-mails te maken die zelfs kunnen lijken op antwoorden op bestaande uitwisselingen. En het is natuurlijk niet alleen de eerste bedreigingsactor waar getroffen organisaties zich zorgen over moeten maken; het is ook degene die de gegevens koopt. In feite is het iedereen die de URL kent, aangezien ze het 'evidence pack' kunnen downloaden.'
In het verleden is de groep zo ver gegaan dat ze voorbeelden van gestolen gegevens aan concurrenten, klanten en partners van een bedrijf als een manier om slachtoffers te schande te maken om hun gegevens terug te betalen.
De groep heeft onlangs tientallen organisaties op hun lekkensite vermeld, waaronder het Amerikaanse ministerie van Defensie, en lekt over het algemeen elke week een nieuwe, meestal met de verkoop van gegevens van organisaties in de VS en Europa.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 