Alle systemen en websites van GWK Travelex werden vorig week al offline gehaald. Het wisselkantoor meldde toen getroffen te zijn door een computervirus.
REvil
Het gaat om de ransomware 'Sodinokibi', ook bekend als 'REvil'. Dit is een variant van ransomware die as-a-Service (SaaS en CaaS) wordt aangeboden op o.a. het Darkweb. Kwaadwillenden kunnen de dienst tegen betaling huren, waarbij de makers van de ransomware een percentage van de opbrengst ontvangen. De cybercriminelen willen dat Travelex het losgeldbedrag betaalt via een site met een tld uit China. Op dit moment zijn computersystemen van het bedrijf uit zeker twintig landen niet te gebruiken. Ook is het voor veel klanten onduidelijk wat er met geld is gebeurd dat zij via GWK verzonden.
Update en Patchen
ComputerWeekly zegt dat het heeft vastgesteld dat de infectie binnenkwam via een onbeveiligde 'Pulse Secure-vpn-dienst'. Al in maart van vorig jaar bleek daar een groot lek in te zitten. Dat is na de ontdekking gerepareerd door 'Pulse Secure'. Veel bedrijven hebben de patch nog niet doorgevoerd.
De kwetsbaarheid in de VPN-diensten van Fortigate en Pulse Secure werd bekendgemaakt op 'hackersfestival' Black Hat. Daarbij werd ook gemeld dat enkele honderden bedrijven en organisaties in Nederland die diensten gebruiken. In april werd een beveiligingsupdate uitgebracht, waarmee je dit lek kunt dichten. Nu blijkt dat nog altijd tientallen bedrijven en organisaties deze update niet hebben uitgevoerd. Daardoor kunnen hackers via dit lek op het interne netwerk van die bedrijven komen, met alle risico's van dien.
Volgens experts waar ComputerWeekly mee sprak stonden er zeker zeven kwetsbare vpn-servers van GWK Travelex in verschillende landen, waaronder Nederland. Het bedrijf voerde de patch voor het Pulse Secure-lek in november door. Veel geavanceerde ransomwarevarianten komen maanden voor ze daadwerkelijk toeslaan al op een systeem binnen. Ze brengen dan eerst het netwerk in kaart om de impact te maximaliseren.
Cybercriminelen eis 6 Miljoen Dollar
Niet alleen hebben de cybercriminelen de computers gegijzeld maar ze hebben ook nog als extra troef 5GB aan gevoelige klantengegevens, zoals, namen, geboortedata en burgerservicenummers.
De hackers: "Als er betaald wordt zullen wij de gegevens wissen en er geen misbruik van maken tevens zullen we ook [data] base herstellen"
"De deadline twee dagen anders verdubbelen we het bedrag. Na zeven dagen verkopen we de gehele [data] base."
Bron: BCC en diverse
Schrijver: COO
Soms is er amper keus
Het zal ongetwijfeld een groot dilemma zijn voor GWK Travelex. Buigen ze voor de cybercriminelen en betalen ze het losgeld? Maar losgeld betalen is niet zonder risico: ‘Ze kunnen actief blijven op je netwerk'. Of houden ze principieel de hand op de bitcoin-beurs? Het Nationaal Cyber Security Centrum (NCSC) raadt gedupeerden juist af om dat te doen, maar experts weten: soms is er amper keus.!