Datalekkasje hos Rezayat Group: Everest-ransomware angriper saudisk konglomerat

Everest-ransomwaregruppen har tatt på seg ansvaret for datalekkasjen hos Rezayat Group. Det saudiarabiske industrikonglomeratet dukket opp på gruppens lekkasjeside, der de viser frem kompromitterte ofre.

Rezayat Group driver 25 selskaper innen logistikk, ingeniørtjenester og produksjon. Konsernet har over 20 000 ansatte og opererer i 13 land.

Hva hackerne hevder å ha stjålet

Everest hevder å ha eksfiltrert 10 GB med intern data. Selv om hele datasettet ennå ikke er offentliggjort, har angriperne delt flere skjermbilder som bevis. Disse inkluderte:

• Forretningskontrakter med eksterne partnere
• Interne selskapsrapporter
• Tekniske tegninger knyttet til industrielle anlegg

Forskere hos Cybernews har gjennomgått lekkasjen og bekreftet at filene fremstår som ekte. Noen dokumenter inneholder sensitiv kundeinformasjon. Andre tyder på detaljerte ingeniørtegninger, som potensielt kan brukes i målrettede oppfølgingsangrep.

Analytikere påpeker at datalekkasjen kan skade Rezayat Groups kundeforhold og øke risikoen for utnyttelse av leverandørkjeden.

Press som taktikk i løsepengeangrep

Å publisere smaksprøver er en vanlig taktikk blant ransomware-grupper. Disse mindre lekkasjene skal øke presset på offeret. Hvis målet nekter å forhandle, fortsetter angriperne vanligvis å publisere mer sensitiv informasjon.

Selv om Everest hevder å sitte på 10 GB stjålet informasjon, finnes det foreløpig ingen måte å bekrefte omfanget av bruddet. Likevel antyder de autentiske dokumentene at gruppen hadde betydelig tilgang til selskapets interne systemer.

Everests historikk og metoder

Everest-ransomware har vært aktiv siden 2021 og kobles til den kriminelle gruppen BlackByte. Kartellet er kjent for å rette seg mot høyverdige organisasjoner. Tidligere kjente hendelser inkluderer:

• Mediclinic – et globalt sykehuskjede verdt 5 milliarder dollar
• Coca-Cola – med stjålne personaldokumenter og private filer
• AT&T – der angripere angivelig fikk tilgang til hele det interne nettverket

Gruppen bruker stjålne påloggingsopplysninger og Remote Desktop Protocol (RDP) for å bevege seg lateralt i nettverk. Ifølge sporing på dark web har Everest listet over 100 ofre bare det siste året.

Målrettede angrep i Midtøsten

Cybersikkerhetseksperter mener at cyberkriminelle i økende grad retter seg mot Midtøsten. Industribedrifter anses som spesielt lukrative mål. Datalekkasjen hos Rezayat Group passer inn i et større mønster der ransomwarekarteller fokuserer på regional infrastruktur, forsyningskjeder og multinasjonale selskaper.

Konklusjon

Datalekkasjen hos Rezayat Group viser hvordan ransomwaregrupper utvikler sine strategier og sitt nedslagsfelt. Ved å gå etter en sentral industrispiller i Midtøsten forsterker Everest sin posisjon som en av de mest aggressive trusselaktørene på dark web. Selv om Rezayat ennå ikke har kommentert hendelsen, reiser lekkasjen alvorlige bekymringer om datasikkerhet, målretting mot regioner og det økende presset på leverandører av kritisk infrastruktur verden over.