Ransomwaregroep REvil claimt verantwoordelijkheid voor een aanval op Midea, een van de grootste elektronicafabrikanten ter wereld.

Volgens de ransomwaregroep verloor Midea terabytes aan data. De aanval is niet door Midea bevestigd. Website IT Pro vroeg de organisatie om een reactie, maar kreeg aanvankelijk geen verklaring. Op het moment van schrijven zijn de websites en social media van Midea functioneel.

REvil verdween in juli 2021 van de radar. Vlak voor het vertrek brak de ransomwaregroep in bij Kaseya, een dienstverlener voor managed service providers (MSP’s). De aanval infecteerde honderden organisaties.

In april 2022 dook REvil opnieuw op. De infrastructuur en ransomwarevariant van de oorspronkelijke groep zijn sindsdien actief. Midea is volgens REvil het meest recente slachtoffer.

REvil en Midea

De groep zegt over terabytes aan data te beschikken. REvil lekte een deel van de data om de aanval te bewijzen. Volgens website IT Pro zijn de gegevens nog niet geverifieerd. REvil dreigt de rest van de data “binnenkort te publiceren”.

Midea is een miljardenbedrijf uit China. Volgens de organisatie bedraagt de gemiddelde jaaromzet meer dan 50 miljard euro. De elektronicafabrikant staat op positie 245 van de Fortune 500.

Volgens REvil is een deel van de data afkomstig uit het product lifecycle management (PLM)-systeem van Midea. REvil liet in een aankondiging weten dat de groep “bereid is om de data te verkopen”.

Double extortion

Openbare dreigementen zijn veelvoorkomend tijdens ransomware-aanvallen. Sommige cybercriminelen zetten slachtoffers op meerdere manieren onder druk. Naast het versleutelen van gegevens dreigen de aanvallers met de verkoop van data, in de hoop dat het slachtoffer tot betaling overgaat.

Sommige aanvallers verkopen een deel van de gegevens wanneer het slachtoffer weigert. De tactiek staat bekend als ‘double extortion‘. Ransomwaregroep Maze paste de tactiek tijdens meerdere aanvallen toe.

Securitybedrijf Allied Universal werd in 2019 door Maze geïnfecteerd. De organisatie weigerde het losgeld te betalen. Maze verhoogde de losgeldeis met 50 procent, publiceerde 10 procent van alle gegevens en dreigde een deel te gebruiken voor een spamcampagne.

Tip: Ransomware is een APT, zo moet je het ook behandelen