Clop-ransomware heerst, nu ook beveiligingsbedrijf Qualys geraakt

Abonneer je gratis op Techzine!

Qualys, een bedrijf gespecialiseerd in cloud security, lijkt het recentste slachtoffer te zijn van de Clop-ransomware die de laatste tijd rondgaat. Interne bestanden van het bedrijf zijn op de blog van de hackers achter Clop verschenen.

De Franse website LeMagIT bracht het nieuws aan het licht. De aanvallers achter de ransomware hebben op hun blog op het darkweb vermeld dat ze beveiligingsbedrijf Qualys hebben gehackt. Voor de aanval is gebruikgemaakt van een kwetsbaarheid in de FTA-software van Accellion. Deze software wordt gebruikt door bedrijven om grote bestanden te versturen over het internet.

Meerdere bedrijven geraakt

Al verscheidene bedrijven zijn slachtoffer gevallen aan de ransomware. Bleeping Computer noemt namen als Transport for NSW, Singtel, Bombardier, Fugro, Jones Day, Danaher en ABS Group. Gegevens van de bedrijven werd versleuteld, waarna ze een bericht kregen met een .onion-link naar een pagina met informatie van de gestolen gegevens. De aanvallers verzoeken om binnen 24 uur contact op te nemen en benadrukken dat ze alleen op geld uit zijn en geen verdere schade willen aanrichten.

Of Qualys ook een dergelijk bericht heeft gekregen, is niet bekend. Wel is duidelijk dat er gebruikgemaakt is van de kwetsbaarheid in Accellion FTA. Volgens Bleeping Computer maakte Qualys gebruik van een FTA-apparaat op het adres fts-na.qualys.com en was het ip-adres waar deze url aan verbonden was van Qualys. Het apparaat is inmiddels uitgeschakeld, maar de schade is al aangericht.

Alleen losse afgezonderde server geraakt

Qualys heeft inmiddels op het nieuws gereageerd. Het bedrijf benadrukt dat de hack geen impact heeft op de productieomgevingen, codebase en klantengegevens die Qualys in zijn beheer heeft. De platforms van Qualys blijven zonder onderbrekingen werken. Qualys schrijft verder dat de Accellion FTA-server afgezonderd was van de rest van het netwerk van Qualys.

Accellion is op de hoogte van het lek en heeft inmiddels een patch voor zijn software uitgebracht. Qualys heeft die patch geïnstalleerd, maar niet voordat aanvallers toegang hebben gekregen tot de gegevens op de FTA-server van Qualys. Gegevens buiten de server zijn niet aangetast.

SolarWinds

Dat een beveiligingsbedrijf wordt geraakt door hackers is opvallend, maar niet uniek. Enkele maanden geleden bleek beveiligingsbedrijf FireEye slachtoffer aan een hack. Ook hierbij werd er gebruikgemaakt van een lek in software van een derde partij, namelijk SolarWinds Orion. In het geval van FireEye leidde onderzoek naar de hack echter tot de ontdekking van de grootste cyberaanval in de recente geschiedenis, waar duizenden bedrijven en ook overheidsorganisaties door getroffen waren.