Twee verschillende bendes dreigen met het lekken van data die werd buitgemaakt bij de brouwerij Duvel Moortgat. Brouwerijen van de groep lagen vorige week een tijd stil door een aanval.
Zo’n week geleden legde een cyberaanval de productie bij brouwerij Duvel Moortgat in Breendonk stil. Enkele dagen later werd de productie weer opgestart, maar mogelijk is de groep in die periode een tweede keer aangevallen. Dat moet blijken uit claims van ransomwarebendes zelf. Op zijn leksite plaatste een eerste bende, Stormous, al een dag na de aanval de claim dat ze 88 GB aan data had gestolen bij Duvel. Vijf dagen later duikt de groep van Brouwerij Duvel Moortgat echter ook op op de site van BlackBasta. Die groep zegt een terabyte aan data te hebben, tien keer meer dus.
Mogelijk twee keer aangevallen
Het is momenteel niet duidelijk of de brouwerij meerdere keren werd aangevallen, of mogelijk door verschillende soorten software werd gehackt via een gelijkaardige exploit. ‘Wat je soms wel ziet is dat een bedrijf na een aanval besluit terug op te starten met back-ups,’ zegt Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense, ‘maar dan heb je wel het gevaar dat de gaten niet werden gedicht. Soms kunnen gebruikersnamen en wachtwoorden al gestolen zijn, en kan een bende of een affiliate opnieuw inbreken.’
Na de initiële aanval sloot Duvel Moortgat zijn servers af, zo vertelde woordvoerster Ellen Aerts toen: ‘De IT-afdeling werd meteen op de hoogte gebracht van de aanval. De servers werden stilgelegd en de productie werd in alle Belgische brouwerijen veiligheidshalve stilgelegd.’ Enkele dagen later kon die productie terug worden opgestart.
Amerikaanse link
Brouwerij Duvel Moortgat is een brouwersgroep die, naast Duvel, ook brouwerij De Koninck in Antwerpen, Brasserie d’Achouffe in Lachouffe en brouwerij Liefmans in Oudenaarde uitbaat. De groep heeeft echter ook een Amerikaanse tak: Boulevard Brewing. Uit de informatie van BlackBasta lijkt het alsof vooral die Amerikaanse brouwerij het slachtoffer werd van de hack waar 1 terabyte aan gegevens werd buitgemaakt. In het BlackBasta-bestand zouden onder meer Amerikaanse paspoorten zitten, naast financiële gegevens van ‘Duvel USA’.
Stormous is een waarschijnlijk Russische ransomwarebende die gebruik maakt van de GhostLocker ransomware. BlackBasta is een andere Russische bende, die een Ransomware-as-a-Service-dienst uitbaat. Ze wordt vaak gelinkt aan de voormalige Conti-groep. Duvel zei vorige week de aanval te onderzoeken. De redactie heeft de brouwerij gecontacteerd voor verdere informatie.
Fout opgemerkt of meer nieuws? Meld het hier