Virus bij GWK Travelex zou ransomware zijn die binnenkwam via Pulse Secure-lek

GWK Travelex is getroffen door een ransomware-infectie. Het bedrijf bleek vorige week slachtoffer te zijn geworden van 'een virus', maar er was toen niet bekend welke dat precies was. De ransomware kwam waarschijnlijk binnen via een Pulse Secure-server die niet gepatcht was.

Vorige week haalde het wisselkantoorbedrijf alle systemen en websites offline nadat het naar eigen zeggen was getroffen door een virus. Het was toen nog niet bekend om wat voor virus het ging. ComputerWeekly meldt nu dat het bedrijf getroffen is door de Sodinokibi-ransomware. Hoe hoog het losgeldbedrag bedraagt dat de criminelen eisen is niet bekend. Volgens ComputerWeekly zou het gaat om een bedrag van 'in de zes cijfers'.

Sodinokibi is een ransomware die ook bekend staat als REvil. Het gaat om ransomware-as-a-service die aanvallers kunnen inhuren in ruil voor een percentage van het losgeldbedrag. Het is niet bekend wie er achter de aanval zit, maar de aanvallers willen dat Travelex het losgeldbedrag betaalt via een site met een tld uit China. Op dit moment zijn computersystemen van het bedrijf uit zeker twintig landen niet te gebruiken. Ook is het voor veel klanten onduidelijk wat er met geld is gebeurd dat zij via GWK verzonden.

ComputerWeekly zegt dat het heeft vastgesteld dat de infectie binnenkwam via een onbeveiligde Pulse Secure-vpn-dienst. Al in maart van vorig jaar bleek daar een groot lek in te zitten. Dat is na de ontdekking gerepareerd door Pulse Secure. Veel bedrijven hebben de patch nog niet doorgevoerd. In september schreef de Volkskrant dat honderden Nederlandse bedrijven, waaronder Shell, defensieaannemers, en DPG Media de patch daarvoor nog niet hadden doorgevoerd.

In oktober waarschuwde ook het Nationaal Cyber Security Centrum dat veel bedrijven nog gebruik maakten van de kwetsbare vpn-verbinding. Volgens experts waar ComputerWeekly mee sprak stonden er zeker zeven kwetsbare vpn-servers van GWK Travelex in verschillende landen, waaronder Nederland. Het bedrijf voerde de patch voor het Pulse Secure-lek in november door. Veel geavanceerde ransomwarevarianten komen maanden voor ze daadwerkelijk toeslaan al op een systeem binnen. Ze brengen dan eerst het netwerk in kaart om de impact te maximaliseren.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 07-01-2020 12:59
24 • submitter: TheVivaldi

07-01-2020 • 12:59

24

Submitter: TheVivaldi

Lees meer

Hackergroep REvil eist aanval op energiegigant Invenergy op
Hackergroep REvil eist aanval op energiegigant Invenergy op Nieuws van 13 juni 2021
Wereldwijde vleesverwerker betaalde 11 miljoen dollar losgeld voor ransomware
Wereldwijde vleesverwerker betaalde 11 miljoen dollar losgeld voor ransomware Nieuws van 10 juni 2021
Inlichtingendiensten: staatshackers misbruiken lek in vpn-software Pulse Secure
Inlichtingendiensten: staatshackers misbruiken lek in vpn-software Pulse Secure Nieuws van 12 februari 2020
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren Nieuws van 12 januari 2020
Systemen en sites GWK Travelex werken niet door 'virus'
Systemen en sites GWK Travelex werken niet door 'virus' Nieuws van 2 januari 2020
Meer producten en artikelen
Beveiliging en antivirus Ransomware Vpn

Reacties (24)

-Moderatie-faq
24
23
18
2
0
3
Wijzig sortering

Sorteer op:

Weergave:
Wouterie 7 januari 2020 13:11
Er is goed geld te verdienen met die ransomware! Je zou toch mogen verwachten dat na de ransomware problemen van vorig jaar en daarvoor er enig gevoel van urgentie bestaat bij bedrijven en andere instanties, om in elk geval de security patches te implementeren... Ach, zolang ze het nog kunnen verzekeren of betalen is er blijkbaar geen haast.
CAPSLOCK2000
@Wouterie7 januari 2020 13:28
Volgens mij hebben de meesten gewoon geen idee welke software ze draaien, hoe die moet worden onderhouden of wie daar voor verantwoordelijk is. Software wordt toch nog vaak gezien als kant-en-klaar product dat je koopt en dan jaren lang gebruikt tot de stukken er van af vallen. Klanten leggen alle verantwoordelijkheid neer bij de leverancier of houden zelfs onderhoud tegen uit angst voor verandering. Leveranciers doen het omgekeerde en zeggen dat de klanten zelf maar voor onderhoud moeten zorgen of
schrijven een forse extra rekening uit voor onderhoud.

Daarnaast blijven mensen verkeerd inschatten hoe criminaliteit op internet werkt. Mensen denken aan een inbreker met masker en breekijzer die voorzichtig de deur van de bank open maakt, terwijl het in praktijk meer is als een junk die op het station even aan alle fietsen rammelt om te kijken of er eentje open gaat. Die pakt wat hij pakken kan en kijkt achteraf pas of de fiets ook verkoopbaar is. Daardoor blijven mensen denken dat zij (of hun bedrijf) toch geen interessant doel zijn of dat hun problemen toch niet gevonden worden omdat ze zo klein zijn.
Wouterie @CAPSLOCK20007 januari 2020 13:43
Ik weet niet of dat overal zo geregeld is, maar als onze leverancier van in dit geval een VPN oplossing, een belangrijke update heeft, dan krijgen we daar netjes bericht van. Inclusief alle sappige details en het dringend advies om de patch te implementeren.

Jouw vergelijking met de fietsen is wel grappig. Aan de andere kant heb je ook de autodieven die op bestelling gaan 'winkelen' op de parkeerplaats, geheel voorzien van de nodige hardware om de nieuwe sleutels uit te lezen. Zo is dat met ransomware boefjes niet anders. Er zijn er die iedereen spammen in de hoop dat ze een keer beet hebben, maar er zijn er ook die gericht op zoek gaan naar die ongepatchtte kwetsbaarheden.

Je kunt er gif op innemen dat als jij een bekende kwetsbaarheid in je netwerk hebt laten zitten en je doet veel met geld, je echt in de problemen komt.
Cergorach
@Wouterie7 januari 2020 17:25
Ik weet niet of dat overal zo geregeld is, maar als onze leverancier van in dit geval een VPN oplossing, een belangrijke update heeft, dan krijgen we daar netjes bericht van. Inclusief alle sappige details en het dringend advies om de patch te implementeren.
De vraag is natuurlijk, wie krijgt dat binnen en wordt daar (tijdig) wat mee gedaan?

Daarnaast hebben veel (IT) organisaties ook niet (makkelijk) inzichtelijk wat waar draait. En laten we al helemaal niet beginnen over motivatie en fouten die IT personeel (beheerders en managers) maken binnen veel organisaties. Verder dan je neus lang is kijken is voor veel mensen een heel vieze activiteit...

Aan de ene kant heb je dan Enterprise omgevingen waarbij alles is gedicht via procedures, maar wijzigingen kunnen heel lang duren voordat ze daadwerkelijk worden uitgevoerd (en niet juist worden ingedeeld op prioriteit). Aan de andere kant heb je (kleine) MKB waarbij er niet alles is gedicht qua procedures en je dus dingen over het hoofd gaat zien. bv. de persoon die deze waarschuwing las heeft de organisatie verlaten en nu ziet niemand die melding meer... Of het betreffende systeem staat niet of verkeerd in de documentatie als ook zijnde een Pulse Secure server, etc.
NLKornolio @CAPSLOCK20007 januari 2020 14:21
Vaak genoeg datje dit soort lekker in je eigen omgeving treft, aan alle bellen trekt maar half jaar later nog geen akkoord hebt voor de downtime. Werk frustraties. Meestal door leveranciers neergezet maar tijd voor beheer wordt niet gegeven.
K-aroq @NLKornolio7 januari 2020 15:01
Dan heb je geen goed IT manager. Een goed IT manager spreekt de taal van het algemene management zodat hij uit kan leggen waarom het belangrijk is. De meeste IT-ers verzanden in technische beschrijvingen waarmee algemeen management niets kan. Maak een goede risk analysis en maakt een business case van de business impact als je niets doet.
PetervdM @K-aroq7 januari 2020 16:14
+1
maar wel op één A4'tje, want anders is de aandachtsboog verslapt ......
rbr320 @NLKornolio7 januari 2020 15:02
Herkenbaar, downtime voor groot en hoog nodig onderhoud is soms lastig akkoord voor te krijgen. In die gevallen blijf ik lekker naar dit soort artikelen wijzen, want de downtime en schade die dit oplevert is vele malen groter dan een gepland onderhoudsmoment je ooit kan bezorgen.
fireblack @NLKornolio7 januari 2020 23:19
Helemaal mee eens.
Managment accepteert het risico tegen lagere kosten van onderhoud.

Maar ja daartegenover zijn er wel technologieën als docker die patchmgt vereenvoudigen.

En als je devops opzet kun je dat ook automatiseren.

Again afhankelijk van mgt
holoX 7 januari 2020 13:20
Dit had dus prima gepatched kunnen worden. Hopelijk leert men hier van!
pven @holoX7 januari 2020 13:21
Het is vast uit handen gegeven bij een hosting-partij. Ben erg benieuwd wie er nou uiteindelijk verantwoordelijk is.
Hardwareseller @pven7 januari 2020 13:27
Dan heb je wel te maken met een erg slechte MANAGED hostingpartij. Het bedrijf waar ik werk neemt dit soort dingen zeer serieus op. Zodra er een lek is, gaat het door de security officer, een paar technische collega's kijken er naar en we mogen het patchen.
pven @Hardwareseller7 januari 2020 13:31
Dat lijkt mij ook de gewenste werkwijze. Maar wie weet was deze server ergens tussen het wal en schip geraakt, en was er niemand verantwoordelijk voor. Ik heb wel gekkere dingen gezien in erg belangrijke omgevingen.
K-aroq @pven7 januari 2020 15:01
Alsof on-prem zaken altijd zo geweldig gaan.
Rudie_V 7 januari 2020 14:05
Zo te horen gevalletje eigen schuld. Hoeveel bedrijven en waarschuwingen moeten er nog in het nieuws komen? Ik gun het natuurlijk niemand, maar kan er verder ook geen medelijden meer mee hebben als bedrijven hun omgeving niet bijhouden en dan getroffen worden.
Het is niet bekend wie er achter de aanval zit, maar de aanvallers willen dat Travelex het losgeldbedrag betaalt via een site met een tld uit China.
Misschien moeten overheden sneller optreden om dit soort domeien en emailadressen uit de lucht te halen, dan kan niemand meer betalen ook en daarmee het verdienmodel in stand houden. Ja dan maar meer kosten en tijd om de omgeving opnieuw op te bouwen, maar elke keer losgeld betalen is ook niet handig. Misschien spoort dit bedrijven wel aan om hun software beter bij te houden.
K-aroq @Rudie_V7 januari 2020 15:03
Misschien moeten overheden sneller optreden om dit soort domeien en emailadressen uit de lucht te halen,
Je gaat je dan wel op glad ijs begeven. Wannneer mag een overheid dan wel en wanneer niet een domein uit de lucht halen. In het gunstigste geval krijg je lange juridische discussies. In het slechtste geval kunnen bepaalde domeinen die tegen een overheid ingaan worden gekilled.
Rudie_V @K-aroq7 januari 2020 15:16
Ik lees regelmatig dat domeinen in beslag worden genomen, dus juridisch gezien moet dat geen probleem zijn. Natuurlijk dit laten doen door een speciale politieeenheid en tussenkomst van een rechter.
Oa: nieuws: Microsoft neemt 50 domeinnamen over van hackersgroep gelinkt aan Noor...
reller 7 januari 2020 14:18
Wat ik me afvraag is hoe de hoogte van het bedrag aan losgeld wordt vastgesteld.
Geeft de ransomware bijvoorbeeld aan hoeveel bestanden er zijn versleuteld en wordt daar automatisch een prijskaartje aan gehangen of wordt er gewoon gekeken naar de waarde van het bedrijf dat is getroffen?

[Reactie gewijzigd door reller op 23 juli 2024 17:45]

ongekend41 7 januari 2020 14:29
Bij Bleepingcomputer.com hebben ze contact met de hackers. Ransom bedrag is $3 miljoen, het hele netwerk encrypted, 5GB data gejat en wordt mogelijk vrijgegeven
Wasabi! 7 januari 2020 17:01
Net op de radio, GWK zegt dat het gepland onderhoud is......
itlee 7 januari 2020 21:52
ken ook iemand met een fortinet firewall die willen gewoon niet updaten, 6 mails gestuurd met waarschuwingen, links mee gestuurd, en gewoon niet updaten.... krijg de reactie terug:"ah joh wij worden toch niet gehacked"....

h o e d o m b e n j e d a n.... als bedrijf....
wiseger @itlee8 januari 2020 03:16
Het gaat om geld. Elke patch betekent testen. En sinds de crisis is er bij de meeste organistatie enorm bezuinigd op IT, de capaciteit om tijdig te testen en te patchen is vaak niet meer aanwezig. Dus worden zaken als patch testen toegevoegd aan de backlog en mag de product owner de prioriteiten bepalen in de sprint planning. En dan is de voortgang van projecten vaak belangrijker dan patchen. Patchen is immers niet zichtbaar in de organisatie tenzij het echt goed fout gaat zoals nu met GWK Travelx.
itlee @wiseger8 januari 2020 13:46
Ik snap wat je zegt, bij Fortinet hoef je binnen je major release niet te testen, gewoon 2 weken na release date die update erop zetten. (alle fixes staan keurig beschreven in de release notes. ook beperkingen of mogelijke issue bij bepaalde onderdelen zijn vaak beschreven.

van major release naar major release dus zeg van 6.0 naar 6.2 (voor de fortinet kenners) is het verstandig om wel te testen en op zeker niet de eerste release te installeren maar even te wachten. Ik werk al sinds 2006 met Fortinet en heb een partner status.

Ik de afgelopen 14 jr nog nooit meegemaakt dat kleine updates problemen geven, ze lossen ze juist op. dus niet installeren is geen optie! Ook als je KLM heet, gewoon die meuk uitrollen. Maarja, baasjes willen plasjes doen en moeilijk doen met als gevolg dat dit soort kwetsbaarheden veel grotere gevolgen heeft.

Succes is een keuze..... <- zeg ik altijd... ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq