De Rhysida ransomware-groep heeft bijna twee terabytes aan interne gegevens gepubliceerd die zijn gestolen van Gemini Group, een in Michigan gevestigde fabrikant die gereedschappen en materialen levert aan grote autobedrijven. Het lek volgt op een losgelddeadline die eind oktober afliep en legt gevoelige gegevens bloot van zowel werknemers als klanten.
Rhysida vermeldde Gemini Group op zijn leksite en gaf ongeveer 1,9 terabyte aan gegevens vrij met meer dan 1,7 miljoen bestanden. Het gestolen materiaal omvat naar verluidt loonadministratie, verzekeringsdocumenten, klantendatabases, interne communicatie en productierapporten. Beveiligingsonderzoekers bevestigden dat de dataset financiële gegevens, persoonlijke informatie van werknemers en bedrijfsdocumenten bevat die interne operaties en prijsstructuren kunnen onthullen.
Gemini Group exploiteert 18 faciliteiten in de Verenigde Staten en Mexico en heeft enkele duizenden werknemers in dienst. Het bedrijf bevestigde dat het een cyberbeveiligingsincident heeft meegemaakt, maar heeft geen details gegeven over hoe aanvallers toegang hebben gekregen, of ransomware is ingezet of dat er losgeld is betaald. Het bedrijf zei dat het samenwerkt met cyberbeveiligingsexperts en wetshandhavers om de omvang van de inbreuk te bepalen.
Het datalek, gepubliceerd op 31 oktober, roept aanzienlijke privacy- en zakelijke zorgen op. Bestanden die online circuleren, lijken namen van werknemers, functietitels, aanstellingsdata, geboortedata, adressen, burgerservicenummers, salarisinformatie en ziektekostenverzekeringsgegevens te bevatten. Sommige documenten verwijzen ook naar inkooporders en communicatie met leveranciers die commerciële strategieën en relaties aan het licht kunnen brengen.
Cybersecurity-analisten zeggen dat de blootstelling van dergelijke gedetailleerde persoons- en bedrijfsgegevens gevolgen op de lange termijn kan hebben. Persoonlijke identificatiegegevens zoals burgerservicenummers kunnen niet gemakkelijk worden gewijzigd, waardoor een voortdurend risico op identiteitsdiefstal en financiële fraude ontstaat. Tegelijkertijd kan het vrijgeven van commerciële gegevens concurrenten in staat stellen de dynamiek van de toeleveringsketen of de prijsstelling te bestuderen, wat de zakelijke relaties van Gemini Group kan schaden.
Rhysida richt zich op industriële toeleveringsketens
Rhysida, een ransomware-operatie die voor het eerst werd waargenomen in 2023, is in verband gebracht met talrijke aanvallen op productie-, gezondheidszorg- en onderwijsinstellingen. De groep krijgt doorgaans toegang via gecompromitteerde inloggegevens of kwetsbare systemen voor externe toegang voordat gegevens worden gestolen en wordt gedreigd met openbare vrijgave. Experts zijn van mening dat Rhysida zich richt op organisaties met kritieke operaties, waar downtime slachtoffers onder druk kan zetten om losgeld te betalen.
In dit geval lijken de aanvallers prioriteit te hebben gegeven aan gegevensdiefstal boven systeemverstoring. Het lekken van grote hoeveelheden documentatie suggereert een georganiseerd exfiltratieproces dat is ontworpen om reputatie- en financiële schade toe te brengen. De aankondiging van de groep beschreef Gemini Group als onderdeel van een campagne gericht op wat het ‘strategische industriële operators’ noemde, een bewering die aansluit bij recente incidenten waarbij andere Noord-Amerikaanse fabrikanten betrokken waren.
Beveiligingsanalisten merken op dat productie- en industriële toeleveringsnetwerken belangrijke doelwitten zijn geworden vanwege hun onderling verbonden systemen en de afhankelijkheid van externe leveranciers. Een inbreuk bij één leverancier kan gevoelige informatie over meerdere bedrijven blootleggen, waardoor de omvang van elke aanval wordt vergroot. In sectoren als de autoproductie, waar digitale coördinatie van de toeleveringsketen essentieel is, reiken de risico’s verder dan één bedrijf.
De inbreuk van Gemini Group illustreert hoe aanvallers leveranciers steeds meer zien als toegangspoorten tot grotere netwerken. Industriële leveranciers slaan vaak klantdocumentatie, ontwerpblauwdrukken en operationele gegevens op die waardevol zijn voor zowel criminele als op de staat afgestemde bedreigingsactoren. Experts waarschuwen dat deze netwerken moeten worden behandeld als kritieke infrastructuur die dezelfde cyberbeveiligingsnormen vereist als grote fabrikanten.
Het bedrijf heeft niet publiekelijk gereageerd op de authenticiteit van de gelekte bestanden, maar cyberbeveiligingsforums die monsters hebben beoordeeld, melden dat de gegevens legitiem lijken. Gemini Group blijft samenwerken met externe onderzoekers, terwijl getroffen werknemers wordt geadviseerd om krediet- en financiële rekeningen te controleren en te letten op phishing-pogingen waarbij gestolen informatie wordt gebruikt.
Het incident benadrukt de groeiende overlap tussen datalekken en ransomware-campagnes in industriële sectoren. Zelfs als systemen operationeel blijven, kan de diefstal van vertrouwelijke informatie schadelijk genoeg zijn om de bedrijfscontinuïteit te verstoren. Voor bedrijven als Gemini Group ligt de uitdaging nu in het beveiligen van digitale activiteiten via een breed leveranciersnetwerk en het geruststellen van partners dat de gegevensintegriteit kan worden hersteld.