Een ransomwaregroep probeert de elektronicafabrikant af te persen Foxconnbewerend dat het 8 TB aan gegevens van het bedrijf heeft gestolen, inclusief schema’s en projectdetails van onder meer klanten Dell, Googlen, AppelEn Nvidia. Foxconn reageerde niet onmiddellijk op het verzoek van WIRED om commentaar over de geldigheid van de claims, maar het bedrijf erkende wel dat sommige van zijn Noord-Amerikaanse fabrieken de afgelopen dagen “het slachtoffer waren van een cyberaanval” en dat “getroffen fabrieken momenteel de normale productie hervatten” na storingen.
Foxconn is het soort doelwit dat vooral aantrekkelijk is voor spelers op het gebied van ransomware en data-afpersing, omdat het een enorm bedrijf is met divisies en dochterondernemingen over de hele wereld die niet alleen zijn eigen intellectuele eigendom bezitten, maar ook dat van zijn klanten. Het bedrijf is een sleutel productie aannemer voor elektronisch componenten of hele apparaten, inclusief iPhones van Apple.
“Ransomwaregroepen richten zich steeds vaker op slachtoffers die een impact kunnen hebben op de toeleveringsketen, of deze nu fysiek of softwarematig is”, zegt Allan Liska, analist van bedreigingsinformatie bij beveiligingsbedrijf Recorded Future. “Het is dus niet verrassend dat een bedrijf als Foxconn het doelwit zou zijn, omdat het productie doet en gevoelige gegevens bewaart voor zoveel bedrijven over de hele wereld.”
De aanvallers, bekend als de Nitrogen-groep, hebben Foxconn maandag op hun inbreuksite vermeld. Stikstof, dat in 2023 opkwam, is niet de meest spraakmakende of productieve ransomware-acteur, maar is gestaag actief geweest, met enkele pieken, ook eind 2024. De groep heeft ook connecties met de beruchte ALPHV/BlackCat ransomware-groep.
Het idee van Foxconn als voornaamste doelwit is niet alleen conceptueel. Het bedrijf heeft te maken gehad met een aantal afpersingspogingen, waaronder: Aanval van december 2020 op een Mexicaanse faciliteit waar de DoppelPaymer-ransomwaregroep memorabel 1.804 Bitcoin eiste (destijds ongeveer $34 miljoen waard). De LockBit-groep trof een andere Foxconn-fabriek in Mexico in mei 2022 en verstoorde de productie. Meest recentelijk heeft LockBit in 2024 een dochteronderneming genaamd Foxsemicon Integrated Technology aangevallen met defacements en claims over datalekken.
Naast pogingen om slachtoffers af te persen door te dreigen met het vrijgeven van bij een aanval gestolen gegevens, zet Nitrogen ook vaak traditionele ransomware in die de systemen van een doelwit versleutelt. Onderzoekers zeggen dat het ransomwareprogramma van de groep zelf is gebouwd op basis van de op grote schaal hergebruikte “Conti 2”-code, maar dat er een probleem is. Het coderingsmechanisme van stikstof heeft een ontwerpfout Dat maakt het onmogelijk om gegevens te ontsleutelen als deze eenmaal zijn versleuteld, zelfs als de aanvallers de systemen van een slachtoffer willen vrijgeven. Het is onduidelijk of dit een factor is in de incidentreactie van Foxconn deze week.
Ransomware en gegevensafpersing zijn een hardnekkig probleem op het gebied van digitale veiligheid, en aanvallers herhalen regelmatig hun doelen en verlagen zich naar nieuwe dieptepunten bij het uitvoeren van grootschalige, ontwrichtende aanvallen. Vorige week nog raakten duizenden scholen in de VS lamgelegd tijdens examens en andere eindejaarsactiviteiten toen het onderwijstechnologiebedrijf Instructure heeft de toegang tot zijn Canvas-platform afgesloten na een inbreuk gepleegd door afpersingsactoren.
