Ransomwaregroep Unsafe eist datalek bij Deutsche Bank op

Een ransomwaregroep die zichzelf Unsafe noemt, heeft de verantwoordelijkheid opgeëist voor het binnendringen bij Deutsche Bank, een van de grootste financiële instellingen ter wereld, en heeft naar eigen zeggen databasebewijs vrijgegeven om de claim te onderbouwen. Het vermeende datalek door ransomware bij Deutsche Bank heeft inloggegevens van medewerkers en interne data blootgelegd, wat direct tot zorgen leidt over hoe die informatie kan worden ingezet voor vervolgaanvallen gericht op zowel de bank als haar klanten.

Deutsche Bank heeft de inbreuk op het moment van schrijven nog niet openbaar bevestigd, en de volledige omvang van het incident wordt nog onderzocht. Maar de claim zelf, ondersteund door wat gelekte gegevensfragmenten lijken te zijn, is voldoende om serieuze aandacht te verdienen van zowel beveiligingsprofessionals als gewone gebruikers.

Wat ransomwaregroep Unsafe beweert te hebben gestolen

Volgens berichten die de gelekte data aanhalen, gaat het om inloggegevens van medewerkers, waarbij minstens 353 sets aan inloggegevens zouden zijn gecompromitteerd. De data zou interne registraties bevatten waarmee aanvallers een gedetailleerd overzicht krijgen van de personeelsstructuur van Deutsche Bank.

Voor ransomwaregroepen dient dergelijke data twee doelen. Ten eerste kan ze direct worden gebruikt om accountovernames uit te voeren of diepere toegang tot bedrijfssystemen te krijgen. Ten tweede kan ze worden verkocht of gepubliceerd als drukmiddel, om de getroffen organisatie te bewegen tot het betalen van losgeld om verdere blootstelling te voorkomen. Groep Unsafe lijkt de tweede strategie toe te passen, door vermeende databasefragmenten openbaar te maken om hun bereik te tonen en urgentie te creëren.

Het is goed om op te merken dat ransomwaregroepen de omvang van inbreuken routinematig overdrijven om de druk te maximaliseren. Toch brengen zelfs gedeeltelijke lekken van personeelsgegevens aanzienlijke ketenrisico's met zich mee, en daarmee komen we bij een meer praktische zorg.

Hoe gelekte personeelsgegevens phishing- en social engineering-aanvallen voeden

Wanneer een database met namen, e-mailadressen, functietitels en inloggegevens van medewerkers op het open web belandt, bedreigt dat niet alleen de getroffen organisatie. Het schept een gereedschapskist voor aanvallers die zich richten op iedereen die met die organisatie verbonden is, inclusief klanten, partners en leveranciers.

Phishing-campagnes die zijn opgebouwd met echte personeelsgegevens zijn veel overtuigender dan generieke oplichting. Een aanvaller die de naam, afdeling en het interne e-mailformaat van een specifieke Deutsche Bank-medewerker kent, kan een bericht opstellen dat voor een ontvanger volledig legitiem lijkt. Dit type spear-phishing, doelgericht in plaats van massaal verspreid, is verantwoordelijk voor een groot deel van de succesvolle cyberaanvallen op bedrijven.

Social engineering gaat hierin nog verder. Aanvallers kunnen zich voordoen als medewerkers wanneer ze IT-helpdesks, leveranciers of zelfs klanten bellen, en daarbij echte interne details gebruiken om verificatiecontroles te doorstaan. Dit is precies waarom het datalek bij de Franse identiteitskaartinstantie waarbij 12 miljoen accounts blootgesteld werden zorgen veroorzaakte die verder reikten dan de instantie zelf. Institutionele datalekken werken als een waterval naar buiten, en de individuen aan het einde van die keten zien het zelden aankomen.

Wat het datalek bij Deutsche Bank onthult over falende datacultuur bij bedrijven

Financiële instellingen behoren tot de zwaarst gereguleerde entiteiten als het gaat om gegevensbeveiliging. Ze investeren aanzienlijk in cybersecurity-infrastructuur, waardoor een geclaimde inbreuk van deze omvang eerder opvallend is dan routine.

Wat er vaak faalt, is niet de perimeter maar het binnenwerk. Inloggegevens van medewerkers die in toegankelijke databases zijn opgeslagen, onvoldoende toegangscontroles die interne systemen scheiden, en trage detectie dragen allemaal bij aan inbreuken die geavanceerde ransomwaregroepen kunnen uitbuiten. Eenmaal binnen een netwerk kunnen aanvallers zich vaak weken of maanden lateraal verplaatsen voordat er een zichtbaar alarm afgaat.

De hier gerapporteerde blootstelling van inloggegevens wijst ook op een breder probleem: organisaties bewaren vaak meer personeelsgegevens in centrale, toegankelijke vorm dan nodig is. Beperken wat er wordt opgeslagen, waar het wordt opgeslagen en wie er toegang toe heeft, vermindert de schade die een enkele inbreuk kan veroorzaken. Dit is een principe dat net zo direct van toepassing is op een multinationale bank als op een klein bedrijf of zelfs een individu die zijn eigen accounts beheert.

Grootschalige data-incidenten, zoals het Novo Nordisk-datalek waarbij 1,3 TB aan gestolen klinische onderzoeksdata betrokken was, onderstrepen dat geen enkele sector immuun is en dat de hoeveelheid gevoelige data die organisaties verzamelen in de loop der tijd een samengesteld risico creëert.

Praktische stappen die gebruikers en bedrijven kunnen nemen om blootstelling te beperken

Of u nu bij een grote instelling werkt of er alleen rekeningen bij aanhoudt, er zijn concrete maatregelen die u kunt nemen naar aanleiding van dergelijk nieuws.

Controleer uw blootstelling aan datalekken. Diensten die bijhouden of uw e-mailadres in bekende datadumps is verschenen, kunnen u waarschuwen wanneer inloggegevens die aan uw accounts zijn gekoppeld online circuleren. Als u een relatie hebt met Deutsche Bank, beschouw dit dan als een signaal om uw accountbeveiliging te herzien.

Wijzig wachtwoorden en schakel multi-factorauthenticatie in. Als hetzelfde wachtwoord dat u voor werk of bankieren gebruikt ergens anders voorkomt, verander het dan nu. Multi-factorauthenticatie vermindert de waarde van gestolen inloggegevens voor aanvallers aanzienlijk.

Wees sceptisch bij onverwacht contact. In de weken na een groot datalek nemen phishing-pogingen die verband houden met die instelling doorgaans toe. Behandel elke ongevraagde e-mail, oproep of bericht dat naar uw account, een dringend verzoek of interne informatie verwijst met extra argwaan, zelfs als de details juist lijken.

Laat bedrijven controleren wat ze opslaan. Als uw organisatie personeels- of klantgegevens in centrale databases bewaart, is dit een praktisch moment om u af te vragen of al die gegevens daar moeten staan, wie er toegang toe heeft en of de toegangslogboeken worden gemonitord.

Het geclaimde ransomware-datalek bij Deutsche Bank herinnert ons eraan dat institutionele gegevensbeveiliging en individuele digitale veiligheid geen gescheiden zorgen zijn. Wanneer grote organisaties worden gecompromitteerd, reikt de blootstelling veel verder dan hun eigen muren. Uw eigen blootstelling aan datalekken herzien en uw persoonlijke beveiligingspraktijken aanscherpen is geen overreactie; het is een evenredige reactie op hoe dergelijke incidenten zich daadwerkelijk voltrekken.