Honda fabrieken offline gehaald na Snake ransomware-aanval

Autofrabrikant Honda moet verplicht zijn productie stopzetten in meerdere fabrieken verspreid over de hele wereld. Het bedrijf heeft te maken met een cyberaanval. Volgens beveiligingsonderzoekers bevat de aanval Snake ransomware. Honda zelf geeft weinig details over de aanval en beschrijft het als een virus. 

Afgelopen maandag moest Honda als gevolg van de aanval fabrieken sluiten in Japan, de Verenigde Staten, Turkije, India en Brazilië. Enkele van deze fabrieken zijn ondertussen weer actief. Naast de operationele systemen in fabrieken zijn ook het wereldwijde e-mailsysteem, de klantenservice en financiële diensten van Honda zijn aangetast door het virus. Honda geeft aan dat er geen bewijs is van gestolen data tijdens de aanval. 

Honda kreeg eerder ook al te maken met een ransomware-aanval. In 2017 werd het bedrijf ook al gedwongen om zijn productie korte tijd stil te leggen nadat het geïnfecteerd was door de WannaCry ransomware. 

Snake ransomware

Snake ransomware, ook wel Ekans genoemd, werd ontdekt in 2019. De ransomware verwijdert de Shadow Volume Copies van een aangetaste computer. Daarnaast zet de ransomware meerdere processen stil die gerelateerd zijn aan SCADA-systemen, virtuële machines, industriële controlesystemen, remote management tools en software voor netwerkbeheer. 

Na het stopzetten van systemen, gaat de Snake ransomware verder met het versleutelen van de bestanden op alle apparaten die verbonden zijn aan het systeem. Uit de sluitingen van de Honda-fabrieken kunnen we opmaken dat de ransomware met succes het industriële controlesysteem heeft bereikt. 

Gerichte aanval

“Het ziet ernaar uit dat deze aanval te koppelen is aan de Snake-cybercrime groep. Delen van malware die zoeken naar een interne systeemnaam en openbare IP-adressen gerelateerd aan Honda zijn opgedoken op het internet.” Zo beweert Chris Clements, vice president of Solution Architecture bij IT-dienstenbeheerder  Cerberus Cyber Sentinel Corp. “De malware verlaat het systeem onmiddellijk als er geen associaties met Honda zijn gedetecteerd. Dat wijst er sterk op dat het om een gerichte aanval gaat”, legt Clements verder uit. 

Het Snake ransomware-team probeert normaal gesproken eerst gevoelige informatie te stelen voordat ze de computers van hun slachtoffers versleutelen. Volgens Clements maakt dit de zaak des te meer verontrustend. “Gecombineerd met de gerichtheid van de malware pre-checks, wijst dit erop dat de aanvallers waarschijnlijk al een tijd toegang hadden tot de interne systemen van Honda”, verklaart Clements.