Security leverancier Qualys is slachtoffer van ransomware aanval
Security leverancier Qualys is mogelijk slachtoffer geworden van een Clop ransomware aanval zo melden diverse media zoals The Register, LeMagIT en Bleepingcomputer. Ook security blogger Rickey Gevers meldt dit op Twitter. Qualys heeft hierna in een blog gemeld dat 'ongeautoriseerde toegang tot bestanden op de Accellion FTA-server is vastgesteld'.
Bestanden die afkomstig lijken te zijn van Qualys, zijn online gedumpt op het Tor-blog van de Clop ramsomware afpersers. De gelekte gegevens omvatten inkooporders, facturen, belastingdocumenten en scanrapporten.
Hoewel Qualys weigerde onmiddellijk commentaar te geven op de mogelijk ransomware aanval, zegt een woordvoerster aan The Register dat het bedrijf op de hoogte was van het incident en het onderzoek doet. Qualys meldde daarna later op zijn website dat er nieuwe informatie naar buiten is gekomen met betrekking tot een eerder geïdentificeerde zero-day-exploit in een oplossing van derden, Accellion FTA, die Qualys heeft ingezet om informatie over te dragen als onderdeel van ons klantenondersteuningssysteem. "Qualys heeft bevestigd dat er geen impact is op de productieomgevingen, codebase of klantgegevens van Qualys die op het Qualys Cloud Platform worden gehost. Alle Qualys-platforms blijven volledig functioneel en er was nooit enige operationele impact", aldus Ben Carr , Chief Information Security Officer, Qualys.
Accellion FTA-server
Het datalek heeft mogelijk plaastgevonden nadat een zero-day-kwetsbaarheid in de Accellion FTA-server van Qualys werd misbruikt om gehoste bestanden te stelen. In december 2020 vond een golf van aanvallen plaatst gericht op de Accellion FTA-applicatie voor het delen van bestanden met behulp van een zero-day-kwetsbaarheid waardoor aanvallers bestanden konden stelen die op de server waren opgeslagen. De Clop-ransomware bende heeft deze slachtoffers afgeperst door de gestolen gegevens op hun ransomwaregegevensleksite te plaatsen.
FireEye
Ben Carr van Qualys meldt: "Qualys en Accellion hebben een gedetailleerd onderzoek uitgevoerd en ongeautoriseerde toegang tot bestanden op de Accellion FTA-server vastgesteld. Op basis van dit onderzoek hebben we onmiddellijk het beperkte aantal klanten geïnformeerd dat door deze ongeoorloofde toegang wordt getroffen. Het onderzoek bevestigde dat de ongeautoriseerde toegang beperkt was tot de FTA-server en geen invloed had op de geleverde diensten of toegang tot klantgegevens die worden gehost door het Qualys Cloud Platform. FireEye Mandiant heeft de details van de Accellion-kwetsbaarheid besproken in het artikel Cyber Criminals Exploit Accellion FTA for Data Theft and Extortion. Zoals bij elk beveiligingsincident, is het onderzoek aan de gang. Als beveiligingsbedrijf blijven we zoeken naar manieren om de beveiliging te verbeteren en onze klanten de sterkste bescherming te bieden. We hebben FireEye Mandiant ingeschakeld, die ook met Accellion heeft gewerkt aan het bredere onderzoek. Qualys hecht veel waarde aan de veiligheid van haar klanten en hun gegevens, en we zullen hen op de hoogte stellen als relevante informatie beschikbaar komt."
Clop heeft eerder ransomware aanvallen uitgevoerd op onder andere Singtel, Bombadier, geodataspecialist Fugro, advocatenkantoor Jones Day, Danaher en ABS Group.
Qualys biedt via partners ook cloudbeveiliging, compliance en gerelateerde services in Nederland.
