ITxx, een leverancier van IT-diensten uit het Antwerpse, geeft toe aan een losgeldvraag van 252.000 euro nadat ransomware de interne systemen en de back-ups kon versleutelen.
Antwerpse IT-dienstenleverancier ITxx betaalde omgerekend 252.000 euro aan losgeld aan cybercriminelen. Dat geld gaat naar hackersgroep Conti, dat de systemen van het bedrijf met ransomware had versleuteld. Zo koopt het ITxx zich een weg uit de precaire situatie waar het sinds 2 juli in zit, maar zendt het wel het signaal dat ransomware een valabel businessmodel is voor misdadigers.
De eigen systemen en data van ongeveer 60 klanten waren versleuteld. ITxx kon die gegevens nu met de duur betaalde encryptiesleutel recupereren. Het bedrijf schakelde beveiligingsspecialisten in met het oog op de data zelf te ontgrendelen, maar tevergeefs. Vervolgens kon ITxx de losgeldvraag wel naar omlaag onderhandelen. Volgens de dienstenleverancier zijn er geen data gestolen.
Geen schuld?
Het bedrijf stelt in een persbericht dat het geen schuld trof in de ransomware-aanval. Dat lijkt ons bijzonder kort door de bocht. Niet alleen de primaire systemen van ITxx waren immers versleuteld, de hackers konden meteen ook de back-ups treffen.
We horen consequent van beveiligingsspecialisten dat een honderd procent waterdichte beveiliging inderdaad niet meer bestaat, gezien de geavanceerde tools waarover hackers beschikking hebben. Die uitspraak gaat echter over APT-groepen die doelgerichte aanvallen uitvoeren, niet om ransomware-bendes die kmo’s viseren.
Gekende aanvalstechnieken
Conti werkt volgens de Amerikaanse FBI voornamelijk met phishingmails of gestolen RDP-inloggegevens om toegang te krijgen tot de systemen van slachtoffers. Beveiligingsspecialist Coveware geeft aan dat Conti naast RDP en phishing ook gebruik maakt van kwetsbaarheden in soft- en hardware. Palo Alto bevestigt dat Conti doorgaans toegang krijgt tot een organisatie door inloggegevens van andere criminelen te kopen of andere traditionele vectoren zoals phishing in te zetten. “De technieken zijn niet uitzonderlijk clever of gesofisticeerd, maar vaak wel effectief”, klinkt het.
lees ook
RDP-aanvallen meer dan verdriedubbeld sinds pandemie
RDP is traditioneel een kwetsbaar protocol dat organisaties best vermijden tenzij het niet anders kan. Toegang tot interne systemen vanop afstand gebeurt best in een veilige omgeving waar 2FA actief is. De impact van phishing kan je beperken door adequate beveiliging te installeren, werknemers op te leiden en karig te zijn met toegangsrechten. Wat kwetsbaarheden betreft, is het tot slot essentieel om snel te patchen of een virtueel patchingsysteem te omarmen.
ITxx lijkt het signaal te zenden dat de interne beveiliging zo goed was als maar kon zijn, en er geen marge voor verbetering is. De manier waarop Conti doorgaans tewerk gaat, spreekt dat toch tegen. Bovendien laat beveiligingsbedrijf Secutec weten dat het mee de volledige netwerk- en beveiligingsomgeving van ITxx vernieuwde, wat aantoont dat er marge voor verbetering was. ITxx zou bovendien hebben ingetekend op de Secure DNS-tool van Secutec. Die filtert kwaadaardige webadressen, wat ons doet vermoeden dat phishing de relevante vector was voor de aanval. De dienstverlener verdient wel een pluim omwille van de transparante communicatie rond het voorval.