Gegevens van de Japanse technologiegigant Fujitsu worden op het dark web verkocht door een groep genaamd Marketo, maar het bedrijf zei dat de informatie “lijkt gerelateerd te zijn aan klanten” en niet aan hun eigen systemen.
Op 26 augustus schreef Marketo op zijn leksite dat het 4 GB aan gestolen gegevens had en deze verkocht. Ze leverden voorbeelden van de gegevens en beweerden dat ze vertrouwelijke klantinformatie, bedrijfsgegevens, budgetgegevens, rapporten en andere bedrijfsdocumenten hadden, waaronder informatie over projecten.
Aanvankelijk zei de leksite van de groep dat het 280 biedingen op de gegevens had, maar nu toont de leksite 70 biedingen voor de gegevens, waaronder één bod vandaag.
Een screenshot van de leksite.
Etay Maor
Een woordvoerder van Fujitsu bagatelliseerde het incident en vertelde ZDNet dat er geen aanwijzingen waren dat het verband hield met een situatie in mei toen hackers gegevens stalen van Japanse overheidsinstanties via het ProjectWEB-platform van Fujitsu.
“We zijn ons ervan bewust dat er informatie is geüpload naar de dark web-veilingsite 'Marketo' die beweert te zijn verkregen van onze site. Details over de bron van deze informatie, inclusief of deze afkomstig is van onze systemen of onze omgeving, zijn onbekend,” een Fujitsu-woordvoerder vertelde ZDNet.
“Omdat dit informatie bevat die lijkt te zijn gerelateerd aan klanten, zullen we ons onthouden van commentaar op de details. Ik neem aan dat u zich misschien de laatste gebeurtenis van Project WEB in mei herinnert, maar er zijn geen aanwijzingen dat dit informatie gelekt uit ProjectWEB, en we zijn van mening dat deze kwestie niets met elkaar te maken heeft.”
Cybersecurity-experts zoals Cato Networks senior directeur beveiligingsstrategie Etay Maor plaatsten vraagtekens bij het aantal biedingen op de gegevens en merkten op dat de Marketo-groep de website beheert en het aantal gemakkelijk zou kunnen wijzigen om kopers onder druk te zetten.
Maar Ivan Righi, cyber threat intelligence analist bij Digital Shadows, zei dat Marketo bekend staat als een betrouwbare bron.
Righi zei dat de legitimiteit van de gestolen gegevens niet kan worden bevestigd, maar merkte op dat eerdere gegevenslekken door de groep zijn bewezen echt te zijn.
“Daarom is het waarschijnlijk dat de gegevens op hun website legitiem zijn. Op het moment van schrijven heeft Marketo alleen een 'bewijspakket' van 24,5 MB openbaar gemaakt, dat enkele gegevens bevatte met betrekking tot een ander Japans bedrijf genaamd Toray Industries. leverde drie screenshots van spreadsheets die naar verluidt tijdens de aanval waren gestolen”, zei Righi.
Hij legde uit dat, hoewel Marketo geen ransomware-groep is, het op dezelfde manier opereert als ransomware-bedreigingsactoren.
“De groep infiltreert bedrijven, steelt hun gegevens en dreigt die gegevens vervolgens openbaar te maken als er geen losgeld wordt betaald. Als een bedrijf niet reageert op de losgeldeis van de dreigingsacteur, worden ze uiteindelijk op de dataleksite van Marketo geplaatst.” Righi vertelde ZDNet.
“Zodra een bedrijf op de Marketo-site is geplaatst, wordt meestal een pakket met bewijsmateriaal verstrekt met enkele gegevens die door de aanval zijn gestolen. De groep zal de bedrijven dan blijven bedreigen en periodiek gegevens vrijgeven, als het losgeld niet wordt betaald. Terwijl de groep dat doet hebben een veilinggedeelte op hun website, niet alle slachtoffers zijn beschikbaar in dit gedeelte en Fujitsu is op het moment van schrijven niet openbaar geveild. Het is niet bekend waar de 70 biedingen vandaan zouden komen, maar het is mogelijk dat deze biedingen kunnen afkomstig zijn van gesloten veilingen.”
Digital Shadows schreef in juli een rapport over de groep en merkte op dat deze in april 2021 werd opgericht en vaak zijn gestolen gegevens op de markt brengt via een Twitter-profiel met de naam @Mannus Klopt.
Het account heeft Fujitsu de afgelopen dagen beschimpt en schreef op zondag: “Oh, de zoete, zoete ironie. Een van de grootste IT-serviceproviders kon geen adequate bescherming vinden.”
De bende heeft herhaaldelijk beweerde dat het geen ransomware-groep is en in plaats daarvan een “informatieve marktplaats”. Ze namen in mei contact op met meerdere nieuwszenders om hun werk aan te prijzen.
“De marktplaats zelf werkt op een vergelijkbare manier als andere dataleksites met enkele unieke functies. Interessant is dat de groep een 'Aanvallende' sectie bevat met namen van organisaties die worden aangevallen. De marktplaats maakt gebruikersregistratie mogelijk en biedt een contactsectie voor vragen van slachtoffers en pers”, schreef het Digital Shadows Photon Research Team.
“Slachtoffers krijgen een link naar een aparte chat om onderhandelingen te voeren. Binnen de afzonderlijke berichten biedt Marketo een samenvatting van de organisatie, screenshots van schijnbaar gecompromitteerde gegevens en een link naar een “bewijspakket”, ook wel bekend als een bewijs. Ze veilen gevoelige gegevens in de vorm van een stille veiling via een blind biedsysteem waarbij gebruikers bieden op basis van wat zij denken dat de gegevens waard zijn.”
Digital Shadows
In het verleden heeft de groep ging zelfs zo ver dat ze stalen van gestolen gegevens naar concurrenten, klanten en partners van een bedrijf stuurden als een manier om slachtoffers te schande te maken om hun gegevens terug te betalen.
De groep heeft tientallen bedrijven op hun lekkensite vermeld, waaronder recentelijk Puma, en lekt er over het algemeen één per week, meestal met de verkoop van gegevens van organisaties in de VS en Europa. Minstens zeven industriële goederen- en dienstenbedrijven zijn getroffen, naast organisaties in de zorg- en technologiesector.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 