Colt Technology Services heeft toegegeven dat data gestolen is bij een cyberincident. Eerder weigerde het dat te doen, terwijl hackersgroep Warlock al duidelijk maakte dat het de buitgemaakte klantgegevens verkoopt aan de hoogste bieder.
De gevolgen van de aanval zijn nog altijd te merken. De klantportaal Colt Online en het Voice API-platform zijn buiten gebruik sinds 12 augustus. Sommige klanten ondervinden ook problemen met de number-hosting API en het Colt On Demand netwerk-as-a-service platform.
Er is geen tijdschema gegeven voor volledig herstel van de normale activiteiten. Het bedrijf verontschuldigt zich voor het ongemak bij klanten maar stelt dat alle zeilen worden bijgezet om dienstverlening te herstellen.
Van ontkenning naar erkenning
Eerst stelde Colt dat alleen interne systemen waren getroffen doro Warlock. Op basis van uitgebreid onderzoek blijkt dat niet het geval. Op een nieuwe pagina stelt de telco dat “sommige data” is gestolen; klanten kunnen een lijst opvragen om te zien of zij op de dark web genoemd worden door Warlock. Dat is niet per se overeenkomstig met de werkelijk gestolen data.
Feitelijk is dat de omgekeerde wereld. Normaliter bericht een door een datalek getroffen bedrijf aan klanten of hun gegevens mogelijk gestolen zijn. Colt stelt nog altijd niet te weten welke data precies is gestolen of wiens informatie het betreft. Het incident response-team werkt nu voortdurend samen met externe onderzoekers en forensische experts om de schaal van het datalek te bepalen.
Ongebruikelijke veilingstrategie
De Warlock-groep koos een atypische aanpak voor het verkopen van de gestolen data. In plaats van de gebruikelijke double extortion waarbij eerst een deel van de data wordt gelekt, vindt er nu een privé-veiling plaats die op 27 augustus eindigt. Normaal gesproken presenteren cyberaanvallers een sample van de data die bemachtigd is.
RansomHub paste een vergelijkbare strategie toe bij veilinghuis Christie’s, merkt The Register op. Experts suggereren dat aanvallers hiermee hun hachje redden wanneer ze onvoldoende waardevolle data hebben buitgemaakt voor een betekenisvolle losgeldeis.
SharePoint als inbraakroute
Onderzoek van Trend Micro bevestigt dat Warlock tot de ransomwaregroepen behoort die misbruik maken van inmiddels gepatchte SharePoint-kwetsbaarheden. Securityonderzoeker Kevin Beaumont opperde al vroeg dat deze route werd gebruikt bij Colt.
De groep verscheen in juni op het Russische cybercrimeforum RAMP, waar het criminelen aanmoedigde contact op te nemen “als ze een Lamborghini wilden bezitten”. Volgens Trend Micro verzamelde Warlock snel een indrukwekkende lijst van slachtoffers, waarvan de helft overheidsorganisaties waren.