Marketo, een groep die data stal van de Japanse techgigant Fujitsu, verkoopt de gegevens op het dark web. Het bedrijf geeft aan dat de data niet van hun eigen systemen afkomstig is, maar van klanten.
Op 26 augustus kondigde Marketo aan 4 GB aan data gestolen te hebben van Fujitsu en deze te verkopen op het dark web. Marketo claimt persoonlijke informatie van klanten en gevoelige bedrijfsgegevens zoals financiële data en projectrapporten in handen te hebben. Daarnaast gaven ze aan tot wel 280 biedingen te hebben, terwijl de website er tot nu toe maar 70 aangeeft.
Wat zegt Fujitsu?
Een woordvoerder van Fujitsu minimaliseert het incident en stelt dat er geen verband is tussen de situatie nu en een hackaanval in mei. Hierbij werden Japanse overheidsgegevens buit gemaakt via Fujitsu’s ProjectWEB-platform. Fujitsu is op de hoogte van de veiling van hun data, maar heeft op dit moment geen informatie over de bron van het datalek. De gegevens lijken van klanten afkomstig te zijn, maar het bedrijf wil zelf niet dieper ingaan op de kwestie.
De mening van experten
Cybersecurity expert Etay Maor, senior director security strategy bij Cato Networks, stelt het aantal biedingen in vraag. Marketo beheert de website namelijk zelf en kan dus makkelijk het getal aanpassen om druk te zetten op potentiële kopers.
Ivan Righi, cyber threat intelligence analist bij Digital Shadows, vindt Marketo net wel een gerenommeerde bron. Reeds gedeelde informatie van de groep over datalekken bleek namelijk altijd feitelijk te zijn. Marketo heeft nog maar 24,5 MB aan data gedeeld, waarin gegevens van Toray Industries, een ander Japans bedrijf, te vinden zijn. Daarnaast deelde de groep screenshots van drie – waarschijnlijk – gestolen documenten.
Ransomwaregroep
Hoewel Marketo geen ransomwaregroep is, werkt het op een gelijkaardige manier volgens Righi. De groep infiltreert in bedrijven, steelt data en dreigt dan die data openbaar te maken wanneer geen losgeld wordt betaald. Wanneer een bedrijf niet ingaat op het verzoek van Marketo, plaatsen ze de data op hun website inclusief ‘bewijspakket’. Marketo blijft stelselmatig data vrijgeven tot het bedrijf in kwestie het losgeld betaalt. De stille veiling kent een blind biedsysteem waar gebruikers enkel kunnen afgaan op wat zij denken dat de data waard is.
Volgens Righi werden de data van Fujitsu echter nog niet geveild. We weten dus niet waar de 70 biedingen op dit moment vandaan komen. Mogelijks zijn het overblijfsels van vorige, reeds afgesloten veilingen.
Marktplaats voor informatie
Digital Shadows schreef eerder al een rapport over Marketo. De groep werd opgericht in april 2021 en maakt de gestolen data publiekelijk via het Twitterprofiel ‘Mannus Gott’. Marketo claimt dat het geen ransomwaregroep is maar een marktplaats voor informatie. Via verschillende nieuwskanalen maakte de groep in mei dan ook zijn werk bekend.
“De marktplaats werkt volgens hetzelfde principe als andere datalekwebsites met uitzondering van enkele kleine details”, zegt het Photon onderzoeksteam van Digital Shadows. De groep geeft namelijk in de ‘aanval’-sectie ook organisaties aan die nog aangevallen moeten worden. Daarnaast is er ruimte voor gebruikersregistratie en een contactpagina voor vragen van slachtoffers en pers. Slachtoffers worden op die manier naar een aparte chatruimte gestuurd om te onderhandelen met Marketo.
Andere aanvallen
In het verleden heeft de groep zelfs datavoorbeelden naar de concurrentie van bedrijven gestuurd, maar ook naar klanten en partners om de bedrijven in verlegenheid te brengen. Puma werd recentelijk ook op de website geplaatst, naast vele andere organisaties. Marketo lekt wekelijks data van één bedrijf, meestal afkomstig uit de Verenigde Staten of Europa. Naast bedrijven uit de gezondheidszorg en de technologie, zoekt de groep ook bedrijven in de industriële en dienstensector uit.
lees ook