Colt erkent dat data gestolen is, veiling op darkweb gestart

In dit artikel:

Colt Technology Services heeft inmiddels toegegeven dat bij een cyberaanval data is buitgemaakt; aanvankelijk ontkende het bedrijf dat klantgegevens waren getroffen. De gevolgen blijven merkbaar: het klantportaal Colt Online en het Voice API-platform zijn sinds 12 augustus onbereikbaar, en ook number-hosting API’s en het Colt On Demand-netwerk (network-as-a-service) ondervinden storingen. Er is geen termijn gegeven voor volledig herstel; Colt zegt met externe onderzoekers en forensische teams te werken om de omvang van het lek vast te stellen, maar weet nog niet precies welke gegevens of welke klanten betroffen zijn.

De aanvaller is de hackersgroep Warlock, die de gestolen informatie niet via de gebruikelijke tactiek van het lekken van samples en dubbele afpersing verkoopt, maar door middel van een besloten veiling die op 27 augustus afloopt. Beveiligingsexperts vermoeden dat zo’n veiling kan duiden op onvoldoende waardevol materiaal om een reguliere losgeldclaim te rechtvaardigen; vergelijkbare strategieën zijn eerder gezien bij groepen als RansomHub. Onderzoek van Trend Micro wijst erop dat Warlock misbruikmaakte van inmiddels gepatchte SharePoint-kwetsbaarheden als inbraakroute, iets waar securityonderzoeker Kevin Beaumont al vroeg op wees.

Warlock verscheen in juni op het Russische forum RAMP en claimde snel een groot aantal slachtoffers, waaronder veel overheidsorganisaties. Klanten van Colt kunnen een lijst opvragen om te controleren of hun naam op het dark web wordt genoemd, maar die lijst weerspiegelt niet per se precies welke data is ontvreemd.