De Duitse overheid onderzoekt een cyberaanval op Continental, een van de grootste fabrikanten van auto-onderdelen ter wereld. De organisatie zei aanvankelijk dat de aanval was afgeweerd, maar de waarheid ligt anders.

Continental heeft meer dan 190.000 medewerkers in 58 landen. Vorig jaar boekte de organisatie een omzet van 33,8 miljard euro. Net zoals elk ander succesvol bedrijf is Continental een doelwit voor cybercriminelen. Op 24 augustus 2022 bevestigde de organisatie in een persbericht dat zijn IT-systemen waren geraakt door een cyberaanval.

Continental beweerde dat de aanval was afgeweerd. Naar eigen zeggen nam de organisatie verantwoordelijkheid om de dataveiligheid van klanten en partners te garanderen. Van datadiefstal bleek op dat moment geen sprake. Inmiddels weten we dat de situatie ernstiger is dan Continental aangaf.

Op maandag 7 november bevestigde de organisatie tegen Duitse dagkrant Handelsblatt dat cybercriminelen “een aanzienlijke hoeveelheid” gegevens hebben gestolen. Vandaag liet een woordvoerder van het Duitse bureau voor misdaadbestrijding aan Handelsblatt weten dat het incident wordt onderzocht.

LockBit legt claim

De woordvoerder deelde geen details over het onderzoek, maar het is duidelijk dat de Duitse overheid naar antwoorden zoekt.

Op 4 november legde ransomwaregroep LockBit een claim op de aanval. De groep beweerde gestolen gegevens van Continental in handen te hebben. LockBit dreigde de gegevens te publiceren tenzij de organisatie binnen 24 uur aan een losgeldeis voldeed.

Als bewijsmateriaal deelde de ransomwaregroep een chatlog waarin vermeende onderhandelaars van Continental met de cybercriminelen discussiëren over de betaling van losgeld. Volgens LockBit vonden de onderhandelingen wekenlang plaats.

Het is niet duidelijk of Continental het losgeld heeft betaald. Handelsblatt vroeg de organisatie om een reactie op de claim van LockBit. Op 7 november bevestigde Continental dat cybercriminelen tijdens de aanval in september “een aanzienlijke hoeveelheid gegevens” hadden gestolen.

Continental hield informatie achter

Volgens Handelsblatt is Continental al maandenlang op de hoogte van de ernst van het incident. Desondanks heeft de organisatie geen openbare updates gedeeld. De enige publiekelijke verklaring was de bekendmaking van het aanval, waarin Continental beweerde dat de cybercriminelen waren afgeweerd.

In werkelijkheid werd Continental in september benaderd door LockBit, aldus Handelsblatt. De ransomwaregroep legde een claim op de aanval, eiste losgeld en dreigde de gestolen gegevens te publiceren. In dezelfde periode wees een onderzoek van Continental uit dat “de aanvallers ondanks vastgestelde veiligheidsmaatregelen een deel van de gegevens konden stelen”.

Continental maakte de resultaten van het onderzoek toentertijd niet bekend. De totale omvang van de gestolen data is tot op heden onbevestigd. Volgens Handelsblatt beschikken de cybercriminelen over ongeveer 40TB aan gestolen data. “Elke terabyte komt overeen met ongeveer 6,5 miljoen documentpagina’s”, schreef het dagblad.

Onbeantwoorde vragen

Onderaan de streep is het duidelijk dat de aanval leidde tot datadiefstal. Handelsblatt vroeg Continental om een reactie op de chatlogs en communicatie met LockBit, maar de organisatie weigerde te reageren.

Veel vragen blijven op dit moment onbeantwoord. Zo weten we niet hoe LockBit toegang kreeg tot de systemen van Continental. Ook is het onduidelijk of de gestolen data gegevens van Nederlandse bedrijven bevat. Het onderzoek van de Duitse overheid loopt.