Nederlandse bedrijven slachtoffer van ransomware die ook GWK trof
Zeker twee Nederlandse bedrijven zijn getroffen door dezelfde gijzelsoftware die de Britse financiële instelling Travelex trof. De ransomware Sodinokibi dook op bij twee bedrijven, maar waarschijnlijk zijn er meer bedrijven aangevallen.
De Nederlandse slachtoffers die nu bekend zijn, betaalden tienduizenden euro’s losgeld om weer bij hun bestanden te komen, zegt Frank Groenewegen van beveiligingsbedrijf Fox-IT.
Dikke kans dat het aantal getroffen bedrijven hoger ligt dan twee. "Als organisaties zich bij ons melden, kun je ervan uitgaan dat er nog meer cybersecurity-bedrijven benaderd zijn. En dan zijn er nog bedrijven die geen hulp inschakelen."
GWK ook slachtoffer
Vorige week bleek dat het bedrijf achter de wisselkantoren van GWK Travelex op 31 december werd getroffen door dezelfde ransomware genaamd Sodinokibi. Als gevolg werkten systemen in de filialen niet en moesten de websites van het bedrijf noodgedwongen op zwart. Het is nog steeds onmogelijk om bestellingen te plaatsen via de webshop.
Bij ransomware leggen hackers beslag op computers en gegevens van bedrijven die getroffen zijn en eisen losgeld. De bestanden worden versleuteld en zijn daardoor onbruikbaar. Pas als er betaald wordt, krijgen slachtoffers weer toegang tot hun computers en bestanden.
Ransomware as a service
Wie er achter de gijzelsoftware zit, is moeilijk te zeggen. Waar individuele criminele groepen verantwoordelijk zijn voor meerdere aanvallen met dezelfde methode, wordt gijzelsoftware zoals Sodinokibi verkocht of verhuurd door de ontwikkelaars ervan.
Om die reden is het lastig om één groep hackers aan te wijzen voor alle aanvallen. "Zij verhuren het vervolgens aan andere groepen. Die kunnen het weer inzetten bij slachtoffers waarvan zij zich toegang tot de computersystemen hebben verschaft", legt Groenewegen uit.
Hoe de makers eraan verdienen is onbekend, maar het is duidelijk dat er een verdienmodel achter zit. "Wij gaan ervan uit dat de criminelen een provisie of percentage van de winst moeten afstaan aan de makers. Dat gaat af van het bedrag dat ze buitmaken."
Door deze manier van werken, stellen de ransomware-makers criminelen in staat om als hackers bedrijven plat te leggen. Ondanks dat ze zelf niet de kunde hebben om ransomware te ontwikkelen, zegt Groenewegen.
Nieuw: dreigen met privacyboetes
De criminelen die de ransomware afnemen hebben ook een nieuwe stok achter de deur gevonden om geld te verdienen. Als bedrijven het geëiste losgeld niet betalen, omdat ze hun systemen weer kunnen gebruiken omdat ze bijvoorbeeld toch nog een backup hebben, dan proberen ze de slachtoffers op een andere manier te chanteren.
Net voor het toeslaan met de ransomware, hebben de criminelen namelijk al volledige toegang tot de computers. Dat betekent dat ze toegang hebben tot alle gegevens, die ze vaak ook deels weer zelf binnenhalen.
"En dan zeggen de criminelen: omdat jullie niet ingaan op de eerdere vraag om losgeld, eis ik alsnog betaling, anders publiceer ik deze data. En dan dreigen ze bijvoorbeeld met boetes die privacywaakhonden kunnen opleggen onder de strenge privacywetgeving AVG."
Boete: maximaal 10 procent van jaaromzet
Toezichthouder Autoriteit Persoonsgegevens kan in Nederland boetes opleggen tot maximaal 10 procent van de jaaromzet van een bedrijf. Groenewegen geeft daarnaast als voorbeeld de boete van 204 miljoen euro die luchtvaartmaatschappij British Airways in het Verenigd Koninkrijk kreeg na een datalek.
"Een miljoenenboete riskeren of 1 miljoen betalen aan een hacker is een risicoafweging die een bedrijf voor zichzelf moet maken. Maar betalen moet je eigenlijk nooit klakkeloos doen, want daarmee houd je het criminele model in stand", zegt de beveiligingsexpert.
Zijn advies is daarom om vooral onafhankelijk onderzoek uit te laten voeren. "Zodat je weet hoe ze zijn binnengekomen, of er data gestolen is en om welke ransomware het gaat. Dan weet je ook wat je opties zijn en wat je kunt doen om te voorkomen dat zoiets nog een keer gebeurt."
