Save the Children International getroffen door cyberaanval
20 september 2023
De wereldwijde organisatie Save the Children International, heeft bevestigd dat ze onlangs het doelwit waren van een cyberaanval nadat een ransomware-groep beweerde de systemen van de organisatie te hebben gehackt.
Een woordvoerder van de liefdadigheidsinstelling - die al meer dan een eeuw hulp biedt aan kinderen in ontwikkelingslanden - liet weten dat de hackers onbevoegde toegang kregen tot delen van hun netwerk. Hij gaf niet aan wanneer de aanval plaatsvond. De organisatie heeft ongeveer 1.300 medewerkers in 100 landen en bood in 2022 hulp aan 118 miljoen kinderen in 116 landen.
"Er is geen operationele verstoring geweest en de organisatie blijft normaal functioneren om een betere toekomst voor kinderen over de hele wereld op te bouwen. We werken hard samen met externe specialisten om te begrijpen wat er is gebeurd en welke gegevens zijn getroffen, zodat we alle gepaste vervolgstappen kunnen nemen," vertelde de woordvoerder aan Recorded Future News.
"Dit proces is complex en kost tijd, maar heeft onze absolute prioriteit. Onze systemen zijn ook beveiligd en we hebben vertrouwen in de voortdurende integriteit van onze IT-infrastructuur. Dit soort incidenten zijn een realiteit waarmee alle organisaties te maken hebben. Het is alleen teleurstellend dat Save the Children, wiens kerndoel het is om de meest behoeftigen te helpen, ook het doelwit is van dergelijke ongewenste activiteiten."
De woordvoerder voegde eraan toe dat het onderzoek nog gaande is en dat ze samenwerken met wetshandhavingsinstanties, met de belofte dat de organisatie "tot de bodem van dit voorval zal gaan".
De aanval kwam aan het licht nadat de BianLian-hackergroep opschepte over het stelen van 6,8 TB aan gegevens van de organisatie, waaronder persoonlijke informatie, gevoelige gegevens, financiële gegevens, zorgdossiers en e-mails.
BianLian heeft sinds ten minste december 2021 de gezondheidszorg, het onderwijs, de verzekeringssector en de media-industrie getarget. Er is weinig bekend over de locatie van de hackersgroep, maar in maart haalden ze het nieuws met een aanval op een Spaanse amusementsparkgigant.
De groep stapte af van ransomware-aanvallen nadat het cybersecuritybedrijf Avast in januari een decryptor uitbracht waarmee slachtoffers hun gegevens konden ontgrendelen zonder het betalen van losgeld.
Echter werden ze daarna weer in de schijnwerpers gezet door de FBI, Cybersecurity and Infrastructure Security Agency (CISA) en Australian Cyber Security Centre (ACSC) in mei, na het targeten van meerdere kritieke infrastructuursectoren in de VS sinds juni 2022.
De hackers richtten zich ook op kritieke infrastructuur in Australië en op verschillende andere industrieën, en gebruikten geldige Remote Desktop Protocol (RDP) inloggegevens, open-source tools en meer om gegevens te exfiltreren en geld te ontfrutselen van slachtoffers.
"De BianLian-groep gebruikte oorspronkelijk een dubbel afpersingsmodel waarbij de systemen van slachtoffers versleutelden na het exfiltreren van de gegevens; echter, rond januari 2023, zijn ze voornamelijk overgestapt op exfiltratie-gebaseerde afpersing," lieten de agentschappen weten.
"FBI, CISA en ACSC moedigen kritieke infrastructuurorganisaties en kleine en middelgrote organisaties aan om de aanbevelingen in het Mitigations-gedeelte van deze advisory te implementeren om de kans en impact van BianLian en andere ransomware-incidenten te verminderen."
Save the Children had eerder te maken met een inbreuk in juli 2020, die werd veroorzaakt door een ransomware-aanval op één van haar softwareleveranciers, Blackbaud. De hackers stalen informatie over de donateurs en vrijwilligers van de liefdadigheidsorganisatie, waaronder namen, contactgegevens en details over hun donaties aan Save the Children.
Save the Children is slechts de laatste grote liefdadigheidsinstelling die het afgelopen jaar te maken heeft gehad met cyberaanvallen, nadat zowel Amnesty International als het Rode Kruis inbreuken hebben geleden. De Noorse Vluchtelingenraad en het International Centre for Migration Policy Development zijn ook aangevallen.
Lees hier meer informatie.
Risico-inventarisatie
"Bij TT3P werken we veel voor goede doelenorganisaties. Wat opvalt is dat er veel te weinig goed in kaart is gebracht waar de risico's voor een organisatie exact liggen en welke beschermende maatregelen er dan zijn getroffen om die risico's weg te nemen. Er zijn natuurlijk altijd wel maatregelen aanwezig, maar die zijn vaak ad hoc getroffen en zonder goed plan.", zegt Michael Bijtenhoorn, security expert bij TT3P.
"Een goede risico-inventarisatie is echt key voor een gedegen cybersecurity-aanpak. We doen dit dagelijks en het zorgt ervoor dat binnen no-time de nog te nemen acties in kaart zijn. Alleen zo kan planmatig aan de aanpak van cybersecurity worden gewerkt." Bekijk hier meer informatie over een risico-inventarisatie en evaluatie.
Over TT3P
The Trusted Third Party (TT3P) biedt praktisch advies voor cybersecurity en biedt hulp door middel van de flexibele inzet van cybersecurity specialisten. Hiermee kan voor elk type organisatie het risico op gijzeling van bedrijfssystemen, bedrijfsgegevens en het onrechtmatig toegang verkrijgen tot data door onbevoegde derden aanmerkelijk worden verkleind. Toets uw cyberweerbaarheid,download onze brochures of neem contact met ons op voor vragen.