Gentlemen-ransomware treft Soja de Portugal, lekt 491 GB

Gentlemen-ransomware treft Soja de Portugal, lekt 491 GB

De Gentlemen-ransomwaregroep heeft de verantwoordelijkheid opgeëist voor een aanval op Soja de Portugal, een toonaangevend Portugees landbouwbedrijf, wat heeft geleid tot de blootstelling van 491 GB aan gevoelige bedrijfsgegevens. Volgens berichtgeving van DeXpose omvatten de gecompromitteerde gegevens SAP-systeemrecords, personeelsinformatie en financiële documenten. Het bronartikel draagt de datum 4 juni 2026, wat ofwel een rapportagefout lijkt te zijn of een op de toekomst gedateerde publicatie; lezers dienen er rekening mee te houden dat de feitelijke juistheid van die specifieke datum niet onafhankelijk kan worden bevestigd, hoewel meerdere bronnen op het gebied van threat intelligence de inbreuk zelf als recent hebben bevestigd.

Het incident draagt bij aan een groeiende lijst van aanvallen die worden toegeschreven aan The Gentlemen, een ransomware-as-a-service-operatie die volgens onderzoekers in de tweede helft van 2025 publiekelijk opdook en sindsdien honderden slachtoffers in uiteenlopende branches en landen heeft opgeëist.

Wie zijn The Gentlemen en waarom zijn ze effectief?

De Gentlemen-groep opereert als een ransomware-as-a-service (RaaS)-platform, wat betekent dat de kernontwikkelaars hun malware en infrastructuur in licentie geven aan gelieerde aanvallers die individuele campagnes uitvoeren. Dit model verlaagt de drempel voor cybercriminelen en maakt attributie complexer voor onderzoekers.

Wat deze groep onderscheidt van oudere ransomware-operaties is het consequente gebruik van dubbele afpersing: ze versleutelen de gegevens van het slachtoffer én exfiltreren deze voordat ze de versleuteling activeren. Dit betekent dat zelfs organisaties met solide back-upprocedures te maken krijgen met een tweede dreiging: het openbaar maken of verkopen van gestolen data als er geen losgeld wordt betaald. In het geval van Soja de Portugal lijkt de groep die dreiging te hebben uitgevoerd, waarbij naar verluidt 491 GB is gepubliceerd of toegankelijk gemaakt via hun lekinfrastructuur.

Onderzoekers hebben opgemerkt dat de toolkit van The Gentlemen zich richt op Windows, Linux, ESXi-hypervisors en NAS-apparaten, waardoor ze in staat zijn een breed scala aan bedrijfsomgevingen te verstoren, van traditionele kantoornetwerken tot gevirtualiseerde datacenters.

Welke gegevens zijn blootgesteld en waarom is dat belangrijk

De categorieën gegevens die betrokken zijn bij de inbreuk bij Soja de Portugal verdienen nauwkeurig onderzoek. SAP-gegevens zijn bijzonder significant: SAP is een enterprise resource planning (ERP)-platform dat door grote organisaties wordt gebruikt om alles te beheren, van toeleveringsketens en inkoop tot salarisadministratie en boekhouding. Een inbreuk op SAP-gegevens kan leverancierscontracten, prijsstructuren, interne financiële prognoses en details over de beloning van medewerkers allemaal tegelijk blootleggen.

Personeelsdossiers, een andere bevestigde categorie in deze inbreuk, bevatten doorgaans namen, identificatienummers, contactgegevens en soms bankgegevens voor de salarisadministratie. Wanneer deze gegevens uitlekken, creëert dat extra risico's voor individuele medewerkers, niet alleen voor de organisatie zelf.

Dit patroon van het aanvallen van bedrijfssystemen is niet uniek voor deze aanval. Vergelijkbare incidenten, zoals de Play-ransomwareaanval op Ampex Data Systems, hebben laten zien hoe aanvallers prioriteit geven aan hoogwaardige gegevensopslag, waaronder persoonlijk identificeerbare informatie van medewerkers en financiële gegevens, juist omdat deze zowel losgeldleverage als verkoopwaarde op de criminele markten bezitten.

Landbouw- en productiebedrijven zijn steeds aantrekkelijkere doelwitten omdat ze vaak een combinatie van verouderde operationele technologie en moderne bedrijfssoftware draaien, wat leidt tot grotere en minder uniforme aanvalsoppervlakken dan organisaties die hun infrastructuur recenter hebben opgebouwd.

Waarom perimeterbeveiliging alleen niet voldoende is

Een van de belangrijkste lessen uit incidenten als deze is dat traditionele perimeterverdedigingen – firewalls, antivirussoftware en netwerkmonitoring – noodzakelijk maar onvoldoende zijn. Van de Gentlemen-groep en vergelijkbare operaties is bekend dat ze initiële toegang verkrijgen via phishingcampagnes, blootgestelde remote desktop protocol (RDP)-poorten en gecompromitteerde inloggegevens. Eenmaal binnen een netwerk bewegen ze zich lateraal, vaak dagen of weken lang, voordat ze ransomware inzetten.

Daarom pleiten beveiligingsprofessionals steeds vaker voor een gelaagde benadering van organisatiebeveiliging. Enkele van de meest effectieve lagen zijn:

• Zero-trust-netwerktoegang: In plaats van elk apparaat of elke gebruiker binnen de netwerkperimeter te vertrouwen, vereist een zero-trust-architectuur continue verificatie van identiteit en apparaatstatus voordat toegang tot een resource wordt verleend.
• Versleutelde externe toegang: VPN's en vergelijkbare tools beschermen gegevens tijdens transport en verkleinen het risico op het onderscheppen van inloggegevens via onbeveiligde verbindingen, met name voor externe en hybride medewerkers die toegang hebben tot gevoelige systemen.
• Netwerksegmentatie: Door systemen zoals SAP gescheiden te houden van algemene werkstations van medewerkers wordt de mogelijkheid van een aanvaller om lateraal te bewegen beperkt nadat een eerste voet aan de grond is verkregen.
• Endpoint detection and response (EDR): In tegenstelling tot traditionele antivirus bewaken EDR-tools op gedragsafwijkingen die erop kunnen wijzen dat een aanvaller actief is binnen het netwerk, zelfs voordat malware wordt ingezet.

De ChipSoft-ransomwareaanval in Nederland liet een vergelijkbaar faalpatroon zien: aanvallers konden grote hoeveelheden gegevens bereiken en exfiltreren doordat interne systemen onvoldoende gesegmenteerd waren en toegangscontroles niet fijnmazig genoeg waren om de inbreuk te beperken zodra de eerste toegang was verkregen.

Wat dit voor u betekent

Of uw organisatie nu een multinational is of een regionaal bedrijf zoals Soja de Portugal, de risicoberekening is veranderd. Ransomwaregroepen met RaaS-modellen kunnen op grote schaal aanvallen uitvoeren, gericht op elke sector waar waardevolle gegevens aanwezig zijn. Landbouwbedrijven, logistieke dienstverleners en fabrikanten beschouwden zichzelf historisch gezien misschien niet als hoogwaardige doelwitten, maar de gegevens die zij in ERP- en HR-systemen bewaren vertellen een ander verhaal.

Hier zijn concrete stappen die organisaties kunnen nemen om hun blootstelling te verkleinen:

• Audit van externe toegangspunten: breng alle internet-facing services in kaart, met name RDP- en VPN-gateways, en zorg ervoor dat deze zijn beveiligd met multi-factorauthenticatie en regelmatig bijgewerkte inloggegevens.
• Implementeer least-privilege-toegang: medewerkers en systemen zouden alleen toegang moeten hebben tot de gegevens en applicaties die ze echt nodig hebben. Brede toegangsrechten versnellen laterale beweging na een inbreuk.
• Test uw back-ups: offline of onveranderlijke back-ups zijn een cruciale verdediging tegen versleutelingsransomware, maar alleen als ze regelmatig worden getest en herstelbaar blijken.
• Gegevensclassificatie en versleuteling van data in rust: weten welke gegevens het gevoeligst zijn en ervoor zorgen dat deze ook bij interne opslag zijn versleuteld, beperkt de waarde van geëxfiltreerde bestanden voor aanvallers.

De inbreuk bij Soja de Portugal is een nuttige casestudy, niet omdat deze uitzonderlijk is, maar omdat deze steeds meer de norm wordt. Nu ransomwareaanvallen in alle sectoren grote hoeveelheden bedrijfsgegevens blijven blootleggen, zijn de organisaties die het beste standhouden degenen die beveiliging beschouwen als een continu proces in plaats van een eenmalige investering. Het nu beoordelen van uw toegangscontroles, netwerkarchitectuur en incidentresponsplan is aanzienlijk minder kostbaar dan het achteraf beheren van een datalek van 491 GB.