Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Virus bij GWK Travelex zou ransomware zijn die binnenkwam via Pulse Secure-lek

GWK Travelex is getroffen door een ransomware-infectie. Het bedrijf bleek vorige week slachtoffer te zijn geworden van 'een virus', maar er was toen niet bekend welke dat precies was. De ransomware kwam waarschijnlijk binnen via een Pulse Secure-server die niet gepatcht was.

Vorige week haalde het wisselkantoorbedrijf alle systemen en websites offline nadat het naar eigen zeggen was getroffen door een virus. Het was toen nog niet bekend om wat voor virus het ging. ComputerWeekly meldt nu dat het bedrijf getroffen is door de Sodinokibi-ransomware. Hoe hoog het losgeldbedrag bedraagt dat de criminelen eisen is niet bekend. Volgens ComputerWeekly zou het gaat om een bedrag van 'in de zes cijfers'.

Sodinokibi is een ransomware die ook bekend staat als REvil. Het gaat om ransomware-as-a-service die aanvallers kunnen inhuren in ruil voor een percentage van het losgeldbedrag. Het is niet bekend wie er achter de aanval zit, maar de aanvallers willen dat Travelex het losgeldbedrag betaalt via een site met een tld uit China. Op dit moment zijn computersystemen van het bedrijf uit zeker twintig landen niet te gebruiken. Ook is het voor veel klanten onduidelijk wat er met geld is gebeurd dat zij via GWK verzonden.

ComputerWeekly zegt dat het heeft vastgesteld dat de infectie binnenkwam via een onbeveiligde Pulse Secure-vpn-dienst. Al in maart van vorig jaar bleek daar een groot lek in te zitten. Dat is na de ontdekking gerepareerd door Pulse Secure. Veel bedrijven hebben de patch nog niet doorgevoerd. In september schreef de Volkskrant dat honderden Nederlandse bedrijven, waaronder Shell, defensieaannemers, en DPG Media de patch daarvoor nog niet hadden doorgevoerd.

In oktober waarschuwde ook het Nationaal Cyber Security Centrum dat veel bedrijven nog gebruik maakten van de kwetsbare vpn-verbinding. Volgens experts waar ComputerWeekly mee sprak stonden er zeker zeven kwetsbare vpn-servers van GWK Travelex in verschillende landen, waaronder Nederland. Het bedrijf voerde de patch voor het Pulse Secure-lek in november door. Veel geavanceerde ransomwarevarianten komen maanden voor ze daadwerkelijk toeslaan al op een systeem binnen. Ze brengen dan eerst het netwerk in kaart om de impact te maximaliseren.

Door Tijs Hofmans

Redacteur privacy & security

07-01-2020 • 12:59

24 Linkedin Google+

Submitter: TheVivaldi

Reacties (24)

Wijzig sortering
Er is goed geld te verdienen met die ransomware! Je zou toch mogen verwachten dat na de ransomware problemen van vorig jaar en daarvoor er enig gevoel van urgentie bestaat bij bedrijven en andere instanties, om in elk geval de security patches te implementeren... Ach, zolang ze het nog kunnen verzekeren of betalen is er blijkbaar geen haast.
Volgens mij hebben de meesten gewoon geen idee welke software ze draaien, hoe die moet worden onderhouden of wie daar voor verantwoordelijk is. Software wordt toch nog vaak gezien als kant-en-klaar product dat je koopt en dan jaren lang gebruikt tot de stukken er van af vallen. Klanten leggen alle verantwoordelijkheid neer bij de leverancier of houden zelfs onderhoud tegen uit angst voor verandering. Leveranciers doen het omgekeerde en zeggen dat de klanten zelf maar voor onderhoud moeten zorgen of
schrijven een forse extra rekening uit voor onderhoud.

Daarnaast blijven mensen verkeerd inschatten hoe criminaliteit op internet werkt. Mensen denken aan een inbreker met masker en breekijzer die voorzichtig de deur van de bank open maakt, terwijl het in praktijk meer is als een junk die op het station even aan alle fietsen rammelt om te kijken of er eentje open gaat. Die pakt wat hij pakken kan en kijkt achteraf pas of de fiets ook verkoopbaar is. Daardoor blijven mensen denken dat zij (of hun bedrijf) toch geen interessant doel zijn of dat hun problemen toch niet gevonden worden omdat ze zo klein zijn.
Ik weet niet of dat overal zo geregeld is, maar als onze leverancier van in dit geval een VPN oplossing, een belangrijke update heeft, dan krijgen we daar netjes bericht van. Inclusief alle sappige details en het dringend advies om de patch te implementeren.

Jouw vergelijking met de fietsen is wel grappig. Aan de andere kant heb je ook de autodieven die op bestelling gaan 'winkelen' op de parkeerplaats, geheel voorzien van de nodige hardware om de nieuwe sleutels uit te lezen. Zo is dat met ransomware boefjes niet anders. Er zijn er die iedereen spammen in de hoop dat ze een keer beet hebben, maar er zijn er ook die gericht op zoek gaan naar die ongepatchtte kwetsbaarheden.

Je kunt er gif op innemen dat als jij een bekende kwetsbaarheid in je netwerk hebt laten zitten en je doet veel met geld, je echt in de problemen komt.
Ik weet niet of dat overal zo geregeld is, maar als onze leverancier van in dit geval een VPN oplossing, een belangrijke update heeft, dan krijgen we daar netjes bericht van. Inclusief alle sappige details en het dringend advies om de patch te implementeren.
De vraag is natuurlijk, wie krijgt dat binnen en wordt daar (tijdig) wat mee gedaan?

Daarnaast hebben veel (IT) organisaties ook niet (makkelijk) inzichtelijk wat waar draait. En laten we al helemaal niet beginnen over motivatie en fouten die IT personeel (beheerders en managers) maken binnen veel organisaties. Verder dan je neus lang is kijken is voor veel mensen een heel vieze activiteit...

Aan de ene kant heb je dan Enterprise omgevingen waarbij alles is gedicht via procedures, maar wijzigingen kunnen heel lang duren voordat ze daadwerkelijk worden uitgevoerd (en niet juist worden ingedeeld op prioriteit). Aan de andere kant heb je (kleine) MKB waarbij er niet alles is gedicht qua procedures en je dus dingen over het hoofd gaat zien. bv. de persoon die deze waarschuwing las heeft de organisatie verlaten en nu ziet niemand die melding meer... Of het betreffende systeem staat niet of verkeerd in de documentatie als ook zijnde een Pulse Secure server, etc.
Vaak genoeg datje dit soort lekker in je eigen omgeving treft, aan alle bellen trekt maar half jaar later nog geen akkoord hebt voor de downtime. Werk frustraties. Meestal door leveranciers neergezet maar tijd voor beheer wordt niet gegeven.
Dan heb je geen goed IT manager. Een goed IT manager spreekt de taal van het algemene management zodat hij uit kan leggen waarom het belangrijk is. De meeste IT-ers verzanden in technische beschrijvingen waarmee algemeen management niets kan. Maak een goede risk analysis en maakt een business case van de business impact als je niets doet.
+1
maar wel op één A4'tje, want anders is de aandachtsboog verslapt ......
Herkenbaar, downtime voor groot en hoog nodig onderhoud is soms lastig akkoord voor te krijgen. In die gevallen blijf ik lekker naar dit soort artikelen wijzen, want de downtime en schade die dit oplevert is vele malen groter dan een gepland onderhoudsmoment je ooit kan bezorgen.
Helemaal mee eens.
Managment accepteert het risico tegen lagere kosten van onderhoud.

Maar ja daartegenover zijn er wel technologieën als docker die patchmgt vereenvoudigen.

En als je devops opzet kun je dat ook automatiseren.

Again afhankelijk van mgt
Dit had dus prima gepatched kunnen worden. Hopelijk leert men hier van!
Het is vast uit handen gegeven bij een hosting-partij. Ben erg benieuwd wie er nou uiteindelijk verantwoordelijk is.
Dan heb je wel te maken met een erg slechte MANAGED hostingpartij. Het bedrijf waar ik werk neemt dit soort dingen zeer serieus op. Zodra er een lek is, gaat het door de security officer, een paar technische collega's kijken er naar en we mogen het patchen.
Dat lijkt mij ook de gewenste werkwijze. Maar wie weet was deze server ergens tussen het wal en schip geraakt, en was er niemand verantwoordelijk voor. Ik heb wel gekkere dingen gezien in erg belangrijke omgevingen.
Alsof on-prem zaken altijd zo geweldig gaan.
Zo te horen gevalletje eigen schuld. Hoeveel bedrijven en waarschuwingen moeten er nog in het nieuws komen? Ik gun het natuurlijk niemand, maar kan er verder ook geen medelijden meer mee hebben als bedrijven hun omgeving niet bijhouden en dan getroffen worden.
Het is niet bekend wie er achter de aanval zit, maar de aanvallers willen dat Travelex het losgeldbedrag betaalt via een site met een tld uit China.
Misschien moeten overheden sneller optreden om dit soort domeien en emailadressen uit de lucht te halen, dan kan niemand meer betalen ook en daarmee het verdienmodel in stand houden. Ja dan maar meer kosten en tijd om de omgeving opnieuw op te bouwen, maar elke keer losgeld betalen is ook niet handig. Misschien spoort dit bedrijven wel aan om hun software beter bij te houden.
Misschien moeten overheden sneller optreden om dit soort domeien en emailadressen uit de lucht te halen,
Je gaat je dan wel op glad ijs begeven. Wannneer mag een overheid dan wel en wanneer niet een domein uit de lucht halen. In het gunstigste geval krijg je lange juridische discussies. In het slechtste geval kunnen bepaalde domeinen die tegen een overheid ingaan worden gekilled.
Ik lees regelmatig dat domeinen in beslag worden genomen, dus juridisch gezien moet dat geen probleem zijn. Natuurlijk dit laten doen door een speciale politieeenheid en tussenkomst van een rechter.
Oa: nieuws: Microsoft neemt 50 domeinnamen over van hackersgroep gelinkt aan Noor...
Wat ik me afvraag is hoe de hoogte van het bedrag aan losgeld wordt vastgesteld.
Geeft de ransomware bijvoorbeeld aan hoeveel bestanden er zijn versleuteld en wordt daar automatisch een prijskaartje aan gehangen of wordt er gewoon gekeken naar de waarde van het bedrijf dat is getroffen?

[Reactie gewijzigd door reller op 7 januari 2020 14:37]

Bij Bleepingcomputer.com hebben ze contact met de hackers. Ransom bedrag is $3 miljoen, het hele netwerk encrypted, 5GB data gejat en wordt mogelijk vrijgegeven
Net op de radio, GWK zegt dat het gepland onderhoud is......
ken ook iemand met een fortinet firewall die willen gewoon niet updaten, 6 mails gestuurd met waarschuwingen, links mee gestuurd, en gewoon niet updaten.... krijg de reactie terug:"ah joh wij worden toch niet gehacked"....

h o e d o m b e n j e d a n.... als bedrijf....
Het gaat om geld. Elke patch betekent testen. En sinds de crisis is er bij de meeste organistatie enorm bezuinigd op IT, de capaciteit om tijdig te testen en te patchen is vaak niet meer aanwezig. Dus worden zaken als patch testen toegevoegd aan de backlog en mag de product owner de prioriteiten bepalen in de sprint planning. En dan is de voortgang van projecten vaak belangrijker dan patchen. Patchen is immers niet zichtbaar in de organisatie tenzij het echt goed fout gaat zoals nu met GWK Travelx.
Ik snap wat je zegt, bij Fortinet hoef je binnen je major release niet te testen, gewoon 2 weken na release date die update erop zetten. (alle fixes staan keurig beschreven in de release notes. ook beperkingen of mogelijke issue bij bepaalde onderdelen zijn vaak beschreven.

van major release naar major release dus zeg van 6.0 naar 6.2 (voor de fortinet kenners) is het verstandig om wel te testen en op zeker niet de eerste release te installeren maar even te wachten. Ik werk al sinds 2006 met Fortinet en heb een partner status.

Ik de afgelopen 14 jr nog nooit meegemaakt dat kleine updates problemen geven, ze lossen ze juist op. dus niet installeren is geen optie! Ook als je KLM heet, gewoon die meuk uitrollen. Maarja, baasjes willen plasjes doen en moeilijk doen met als gevolg dat dit soort kwetsbaarheden veel grotere gevolgen heeft.

Succes is een keuze..... <- zeg ik altijd... ;)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True