Scania maakt melding van een cyberbeveiligingsincident. Kwaadwillenden kregen via gestolen inloggegevens toegang tot de systemen van Scania Financial Services. Zij maakten documenten met betrekking tot verzekeringsclaims buit.
Volgens Scania stuurden de aanvallers e-mails naar meerdere medewerkers van het bedrijf. De aanvallers dreigden de gestolen gegevens online te zetten als men hun eisen niet inwilligde.
Scania is een grote Zweedse fabrikant van zware vrachtwagens, bussen en industriële en maritieme motoren. Het maakt deel uit van de Volkswagen Group. De fabrikant heeft een grote productielocatie in Zwolle.
Eind vorige week signaleerde het dreigingsmonitoringsplatform Hackmanac een bericht op een hackersforum van iemand met de naam ‘hensi’. Die persoon bood gegevens te koop aan die zouden zijn gestolen van ‘insurance.scania.com’. hensi boot de data exclusief aan één koper aan.
Inloggegevens van externe IT-partner
Scania bevestigde tegenover BleepingComputer dat het systeem op 28 mei 2025 werd gecompromitteerd door middel van inloggegevens van een externe IT-partner. De data waren gestolen met behulp van zogenoemde infostealer-malware. Volgens een woordvoerder van Scania was sprake van een beveiligingsincident binnen de applicatie insurance.scania.com, die de IT-partner beheert.
Op 28 en 29 mei maakte een aanvaller gebruik van de inloggegevens van een legitieme externe gebruiker om toegang te krijgen tot een systeem dat de fabrikant gebruikt voor verzekeringsdoeleinden. De huidige veronderstelling is dat deze inloggegevens zijn buitgemaakt via malware die wachtwoorden steelt. Met het gecompromitteerde account zijn documenten gedownload die verband houden met verzekeringsclaims.
Dergelijke documenten bevatten waarschijnlijk persoonlijke en mogelijk gevoelige financiële of medische gegevens. Die kan aanzienlijke impact voor betrokkenen hebben. Het is op dit moment nog niet bekend hoeveel personen zijn getroffen.
Na de inbraak volgde een afpersingsfase waarin medewerkers van Scania rechtstreeks werden benaderd via een e-mailadres van proton.me. De aanvallers probeerden op die manier het bedrijf onder druk te zetten en publiceerden later voorbeelden van de gestolen data op hackersforums.
Op 30 mei stuurde de aanvaller vanuit een proton.me-adres e-mails naar meerdere medewerkers van Scania, waarin hij dreigde met openbaarmaking van de gegevens. Later volgde een soortgelijke e-mail van een derde partij waarvan het e-mailadres was overgenomen. Uiteindelijk werden de data gelekt door iemand met de naam Hensi.
De getroffen applicatie is inmiddels offline gehaald en er is een onderzoek gestart naar het incident. Scania gaf aan dat de impact van het datalek beperkt is gebleven en dat de autoriteiten die toezien op gegevensbescherming op de hoogte zijn gebracht.