Antwerps IT-bedrijf betaalt 252.000 euro losgeld na ransomware-aanval - update

De Antwerpse managed service provider ITxx heeft 252.000 euro losgeld betaald aan cybercriminelen, nadat het bedrijf op 2 juli slachtoffer werd van een ransomwareaanval door hackersgroep Conti.

ITxx laat weten dat het inmiddels de decryptiesleutels van de hackers heeft ontvangen. Daarmee is de ransomwareaanval ten einde. Volgens het bedrijf bleek 'na grondig onderzoek' dat losgeld betalen de enige manier was om getroffen klanten weer in het bezit te stellen van hun data. "In het belang van onze klanten en omdat experten ons op het hart drukten dat er geen alternatief was, zijn we overgegaan tot de betaling van het losgeld. We doen er nu alles aan om onze klanten snel weer operationeel te krijgen", schrijft het bedrijf.

Volgens ITxx werden door de ransomwareaanval de gegevens van 'een zestigtal klanten' in HR en accounting versleuteld. Hierdoor kon 'het merendeel' van de ITxx-klanten niet bij hun data en werden ze 'ernstig verstoord' in hun operaties. Aanvankelijk zouden de hackers 1,5 miljoen dollar geëist hebben, meldt cybersecuritybedrijf Secutec, dat betrokken was bij de onderhandelingen. Uiteindelijk heeft ITxx naar eigen zeggen 300.000 dollar losgeld betaald, wat omgerekend neerkomt op 252.000 euro.

Het IT-bedrijf meldt dat er vooralsnog geen aanwijzingen zijn dat er gegevens van bedrijven, klanten of werknemers zijn gecompromitteerd. ITxx claimt dat het 'geen schuld trof' in de infectie. "Qua beveiliging van de infrastructuur en klantendata wijst alles erop dat ITxx geen schuld trof in de ransomwareaanval", schrijft het bedrijf.

De serviceprovider werd op 2 juli getroffen. Hoewel dat overeenkomt met de grootschalige aanval op Kaseya, is ITxx daar niet bij betrokken. Het Antwerpse IT-bedrijf liet eerder namelijk weten dat het geen VSA-software van Kaseya gebruikt, schrijven ook Belgische media De Standaard en Het Nieuwsblad.

Secutec meldt in plaats daarvan dat het om Conti gaat. Dat is volgens het cybersecuritybedrijf de tweede grootste ransomwaregroep, na REvil. Eerder dit jaar werd de publieke gezondheidsdienst van Ierland getroffen door diezelfde ransomware, maar de ransomware-infectie bij ITxx is volgens Secutec de eerste grootschalige aanval van Conti in België.

Update, 14:10: Belgische website Data News schrijft dat een deel van het losgeld is bijgelegd door klanten van ITxx. De website schrijft dat de klanten die bijdragen vrijwillig deden. ITxx-bestuurder Steven Holvoet vertelt aan Data News: "Al vanaf het begin hebben enkele klanten zelf aangegeven dat ze graag hun steentje willen bijdragen als dat helpt om de data sneller terug te krijgen. Wij hebben nooit zelf aan klanten gevraagd om mee te betalen, maar als er klanten bereid waren dat te doen, dan kon dat." Het is niet bekend hoeveel geld klanten hebben bijgedragen.

Door Daan van Monsjou

Redacteur

12-07-2021 • 12:57

225 Linkedin

Submitter: ejabberd

Lees meer

Reacties (225)

Wijzig sortering
ITxx claimt dat het 'geen schuld trof' in de infectie. "Qua beveiliging van de infrastructuur en klantendata wijst alles erop dat ITxx geen schuld trof in de ransomware-aanval"
Zonder duidelijk te willen zijn waarop dat gebaseerd is (en wat men buiten beschouwing laat) is dit makkelijk te beweren. Je hebt niet zomaar zo enorm veel last van ransomware dat betalen de enige optie is. Meestal is er dan toch op verschillende momenten er te weinig aan beveiliging gedaan, zoals rekening houden backups te controleren of in te calculeren hoeveel tijd het kost om backups terug te zetten.
Als dit een aanval was geweest via een onbekend beveiligingsprobleem dan hadden ze dat waarschijnlijk wel bekend gemaakt. Vermoedelijl gaat het dus eerder om een of meer problemen waar ze wel degelijk iets tegen hadden kunnen doen.
Waar waren de backup tapes? Want dan had je gewoon kunnen restoren.

En voordat iedereen uit zijn bol gaat, als je weet hoe de encryptie verlopen is kun je machines gericht schonen en monitoren na restore.
als je exact weet wanneer de eerste penetration was, misschien dan wel ja, maar elke bit die sindsdien zou gecreëerd of modified zijn, moet je dan onder een vergrootglas houden.
De ervaring leert dat dit in de meeste gevallen wel meevalt. De bestanden worden juist razendsnel versleuteld zodat eventueel ingrijpen te laat is.

De kans dat je word document ineens malicious code bevat is klein. De kans dat een database ineens rare routines bevat is klein, daarmee heb je op email na dus vrij snel je processen draaien en kun je daarna verder. Betalen is meestal omdat er anders data permanent verloren gaat, dus geen goede backups.
de kans dat je getroffen wordt door een cryptolocker is ook klein.

Zonder volledige inhoudelijke kennis van een aanval kan je geen uitspraken doen. Veel mensen doen alsof elke aanval zomaar te voorkomen is en dat enkel zwaar nalatende bedrijven getroffen worden, wat zeker niet het geval is.

Betalen is soms de goedkoopste en snelste oplossing om je bedrijf terug draaiende te krijgen voordat je een faillissement moet aanvragen.
Ik zeg niets over het feit dat de hack heeft plaatsgevonden, dat kan iedereen gebeuren. Maar als IT dienstverlener geen goede offline backups klinkt slordig.
om je een illusie armer te maken, er zijn maar heel weinig IT-bedrijven die dit soort aanvallen zonder zweten kunnen doorstaan en die ga je al helemaal niet aan dezelfde kostprijs kunnen inhuren.
En maar blijven betalen......
tjah wat wil je dan? je toko opdoeken? het is achteraf simpel gezegd; had maar goeie backups / beveiling procedures doorgevoerd. maar daar heeft een bedrijf op dat moment niets aan. Hopelijk trekken andere bedrijven hier leer uit; eens ben je gewoon de lul, niet de vraag of maar wanneer dat zo is ..
en zolang de pakkans 0 is zal dit blijven gebeuren
Als ondernemer hoort verlies nemen en je bedrijf failliet laten gaan gewoon tot de risico's. Door criminelen te betalen en te doen alsof het niet aan jezelf ligt neemt een ondernemer het risico niet serieus. Dan lijkt men meer bezig met kosten wat het kost alleen de voordelen te willen nemen.
Wat een lariekoek.
Ondernemen is altijd kosten/bate analyze. Als ze hier bijv. 6 maanden aan mankracht moeten instoppen om alle data terug te krijgen en de dienstverlening weer te kunnen doen dan is 252000 een schijntje.

Beetje raar dat je het verliesnemen en failliet laten gaan aan elkaar gelijk stelt.
Je kan het slechts lariekoek noemen door het niet te willen hebben over wat men vooraf had kunnen doen. Het bedrijf stelt kennelijk wel publiek dat ze voldoende gedaan hebben om het financieren en in stand houden van criminelen te verantwoorden, maar wenst dat niet publiek te verantwoorden. Met de feiten dat veel van deze besmettingen en tijd gaan zitten in juist onvoldoende voorbereid zijn op voorkomen van grote besmetting en dat backups herstellen tijd kost is het dus eerder lariekoek om dit betalen en claimen zomaar te accepteren als redelijk. Ondernemen en samenleving zijn geen kwestie van goed praten en selectief wegkijken.
Het is lariekoek dat je je bedrijf failliet moet laten gaan.en dit als risico moet zien omdat je ten prooi bent gevallen aan een cyberaanval.
Verder hoeven ze niks publiekelijk te verantwoorden, als ze dit maar wel richting hun klanten doen. Zijn die daar tevreden mee, mooi, zijn ze daar niet tevreden mee dan gaan ze hun IT diensten elders afnemen.

In dit geval geeft ITxx aan dat hun backups in een 2e datacenter ook gecomprimeerd was. Dan blijft er weinig over om op terug te vallen. Moet je dan maar de handdoek in de ring gooien en failliet gaan?

Leermomenten? Jazeker, zorg voor offline backups, doe iets tegen phising, zorg dat je bij bent met patches en filter webtraffic.

Geen enkel bedrijf is 100% veilig voor cyberaanvallen/ransomware
Je toont niet aan waarom het lariekoek is. Ondernemen is per definitie risico nemen. Daar hoort niet alleen gunstig risico bij maar ook risico die een uiterste keerzijde heeft. Dat gaat zelfs tot in de basis van ondernemen: geld en alles van waarde om te kunnen ondernemen. Geen geld wegens slecht ondernemersschap, gebrek aan waarde om voort te zetten, en er is zelfs wettelijk geregeld dat je onderneming dan niet meer zomaar te reden is. En dat gaat net zo op voor situaties waarbij de onderneming in gevaar is door bijvoorbeeld liever winst uit te keren dan te investeren in goede backups die je kan vertrouwen en snel genoeg kan terugzetten. De lariekoek is dat negeren, zonder onafhankelijke onderbouwing en zelfs zonder eigen onderbouwing net doen alsof het redelijk is niet voor het risico te gaan en in te zetten op geld naar criminelen geven en criminaliteit aanmoedigen om geen verantwoordelijkheid af te hoeven leggen. Dat is geen ondernemen meer maar komt meer in de buurt van wanbestuur, gebrek aan ondernemensschap en gebrek aan ethiek door dat selectief toe te passen.
Wat wil je dat ik aantoon? Ondernemen is inderdaad risico nemen, betekent niet dat je je automatisch failliet moet laten verklaren omdat je door Ransomware nergens meer bij kunt.

Het risico wat er nu genomen is is een som met geld te betalen zonder zekerheid dat je een decryptor krijgt.
In het ergste geval was men dus ook nog eens een bak met geld kwijt.

Daarbij doe je behoorlijk wat aannames en heb je geen idee hoe de infrastructuur van ITxx eruit ziet en wat er is gebeurt.
Wellicht dat de oorsprong van de ransomware ligt bij één van de klanten van ITxx.

Je reactie is erg kort door de bocht en niet realistisch.
Als ondernemer hoort verlies nemen en je bedrijf failliet laten gaan gewoon tot de risico's. Door criminelen te betalen en te doen alsof het niet aan jezelf ligt neemt een ondernemer het risico niet serieus. Dan lijkt men meer bezig met kosten wat het kost alleen de voordelen te willen nemen.
Ik hoop dat jij nooit aan het hoofd van een bedrijf staat... Jij zou nog liever failliet gaan en je personeel werkloos laten worden, dan een oplossing waarmee je zowel je bedrijf als personeel overeind kan houden? Leer eerst een beetje basis "menselijkheid" zou ik zeggen.

Groeten van een ondernemer.
Met die oplossing naai je wel andere bedrijven die nu ook slachtoffer worden doordat door jou actie criminaliteit loont...
En die bedrijven hebben misschien niet het geld om dit even af te tikken.

[Reactie gewijzigd door computerjunky op 12 juli 2021 14:32]

M<et die oplossing naai je wel andere bedrijven die nu ook slachtoffer worden doordat door jou actie criminaliteit loont...
Want een voorbeeld stellen is belangrijker dan het lot van je werknemers? Echt?
Het gaat niet om het voorbeeld stellen. Het gaat om het probleem de kop in drukken en voorkomen dat dit soort onzin door gaat. Je eigen laxe hachie redden ten kosten van anderen is overigens bijna net zo erg als ransomsware verspreiden.
En je mag dan misschien het lot van je eigen werknemers verbeteren maar je negeert compleet dat andere bedrijven hier de dupe van zijn. Dus iemand anders de grond in boren vind je prima maar je eigen personeel is heilig? Rare dubbele normen en waarden hoor.
Het vraagt nogal wat van iemand om te verlangen dat hij zichzelf (of zijn bedrijf) opoffert voor het hogere doel.

Stel je voor: je staat geld te pinnen, je draait je om en ziet een paar sterke mannen die je een interessant voorstel doen: je geeft hen je zojuist gepinde geld en in ruil daarvoor slaan ze je niet in elkaar. Jij zou er dan voor kiezen om criminaliteit niet te laten lonen en je zou zeggen dat ze hun voorstel ergens kunnen bewaren waar de zon niet schijnt? Hmmmm

[Reactie gewijzigd door P_Tingen op 12 juli 2021 14:53]

Ik vind dat ook wel een beetje kansloos gewauwel "je had je maar beter moeten beveiligen". Je rechtspersoonlijkheid heeft recht op overleven, en daarbij zijn heel wat levens bij gemoeid. Impact strekt immers ook nog eens tot de klanten van ITxx.

Wat doe je trouwens als je in het vizier komt van georganiseerde misdaad? Als ze binnen willen breken, is er altijd wel een weg. Niets is onfeilbaar.
Ook voor jou de vraag:
Wil je veel meer betalen voor een product of dienst van een bedrijf dat jouw principes hanteert ten opzichte van een bedrijf welke dat niet doet? Als je dat al zou kunnen weten?
Maar het gaat niet alleen om je eigen hachje in dit geval.

Een IT dienstverlener is gehacked. De klanten van die dienstverlener zijn daar slachtoffer van. Jij zou in dit geval dus meerdere bedrijven, die er net voor gekozen hebben om hun IT dienstverlening te ontzorgen door het uit te besteden failliet laten gaan ondanks dat deze bedrijven zelf geen fout hebben gemaakt.

Dus jij wil niet dat andere bedrijven de dupe zijn terwijl in dit specifieke geval je net vele andere bedrijven gaat treffen.
Je eigen laxe hachie redden ten kosten van anderen is overigens bijna net zo erg als ransomsware verspreiden.
Hoe is dit ten koste van anderen? Het is toch niet dat andere bedrijven het slechte voorbeeld van dit bedrijf moeten volgen?

Het is spijtig dat het gebeurd is, maar op dit moment hebben de werknemers hun job nog, hebben hun klanten hun data terug, en met een beetje geluk is zijn ze nog mogelijk verzekerd tegen dit soort dingen en moeten ze het bedrag niet volledig zelf betalen. Dat is echt wel een "best-outcome" scenario voor alle partijen, gezien de ernst van de situatie.

Denk je echt dat andere bedrijven nu ineens al hun security-apparatuur gaan buitensmijten en gaan zeggen "weet je wat? we zullen wel gewoon betalen als we slachtoffer worden van ransomware.". Een ander bedrijf is hier echt niet de dupe van, als ze hun security-stuff wel op orde hebben.

[Reactie gewijzigd door sithlord2 op 12 juli 2021 14:44]

Je klinkt erg naief.

Stel dat een familielid van je gegijzeld wordt. Moeten we dan ook niet betalen omdat er nog 7 miljard andere mensen op aarde zijn, dus die ene zullen we niet missen en anders leren ze het nooit?
Er is toch een wezenlijk verschil tussen gegijzelde data of een gegijzeld persoon.
Een mensenleven is onvervangbaar, data daarentegen is vervangbaar of afschrijfbaar.
300.000 dollar is ook vervangbaar of afschrijfbaar.
Tja, ik heb je ook al verteld dat het personeel laten boeten door ontslag wegens faillissement ook niet echt ethisch is, maar dat snap jij dan ook weer niet precies.

Laten we het er bij houden dat we allebei even dom zijn dan...
Je idee werkt alleen als je losgeld betalen crimineel maakt, cq wetboek wijzigt.
Dat mag wat mij betreft dan ook gewoon gebeuren. Anders stopt dit namelijk nooit.
Een wet als dit zal makkelijk gesteund worden omdat het de enige manier is om dit aan te pakken.
Ik heb bij een bedrijf gewerkt dat vestigingen heeft in Nigeria.

Ondanks alle voorzorgsmaatregelen gebeurde het nog wel eens dat een directeur werd ontvoerd voor losgeld. Dat werd meestal gewoon betaald door de firma. Dat zou dan ook niet mogen volgens jou?

Ik bewonder jouw vermogen om de wereld zo simpel te maken...
Het is gewoon een heel ander verhaal als je verantwoordelijk bent voor personeel en klanten.
Natuurlijk gaan ook die punten die jij noemt door de hoofden van betrokkenen, maar daar koop je op dat moment niets voor.
En andere kant is ook dat als je niet betaalt, er heel veel andere bedrijven dit ook moeten doen anders is jouw enige poging vruchteloos.
En die bedrijven hebben misschien niet het geld om dit even af te tikken.
daarom selecteert men bedrijven met bepaalde omzet en/of past men hoogte losgeld aan.
dan moet je de boel maar beter beveiligen
Je vergeet om te klagen voor het gemak te melden dat er een andere optie is om failliet gaan en schade voor je omgeving te voorkomen?
Op tijd verantwoordelijkheid nemen door eerlijk naar personeel, klanten en leveranciers te zijn waar de winst heen gaat en wat je nog wenst te accepteren op gebied van ethiek. Kosten wat het kost een bedrijf behouden door liever niet transparant te zijn en criminelen te betalen is niet realistisch. Dat lijkt vooral een excuus om er zolang het goed gaat zelf beter van te worden op kosten van je omgeving.
Daar heb je volledig gelijk in, maar zijn op dit moment vijgen na pasen. Je kan de klok niet terugdraaien, dus het is geen "oplossing" op dit moment.

Betalen en je bedrijf/personeel redden is op zo'n moment een meer ethische oplossing, dan je verantwoordelijkheid te laten ontlopen door je bedrijf failliet te laten verklaren en je personeel op straat te zetten.
Bij risico erkennen als het er echt om gaat hoort nu eenmaal ook rekening houden met eerdere keuzes. Net doen alsof alle eerdere keuzes niet mee tellen, of net doen alsof dat geen oorzaak heeft door er niet eerlijk over te zijn waarom dat redelijk is, heeft weinig meer met ethiek te maken. Dan ben je alsnog vooral met ontkennen en wegkijken bezig om er zelf beter vanaf te zijn. Het klinkt als ontkenning: niet hoeven verantwoorden zodat het lijkt alsof men een keuze heeft die redelijk is. Redelijkheid zit in open zijn waarom je eerdere keuzes niet meetellen of niet relevant zijn. Ik kees het hier niet gebreuren terwijl ze wel criminelen betalen en criminalitiet in stand lijken te houden.
"om er zelf beter van te zijn"? Ze hebben losgeld betaald, dat is een groot deel van de winst dat in rook opgaat. De eigenaars van het bedrijf gaan dit echt wel voelen in hun portefeuille.

Ik denk dat je toch een vrij naieve visie hebt over hoe bedrijven werken...


Die stoere "We don't negotiate with terrorists!" praat werkt misschien in Die Hard films, maar de dagelijkse bedrijfswereld is een pak pragmatischer...

[Reactie gewijzigd door sithlord2 op 12 juli 2021 15:54]

Naief is net doen alsof bepaalde opties en gebeurtenissen niet mee tellen om de huidige keuze mooier te laten lijken of goed te praten. Ik lees je samen met het bedrijf die opties niet te willen bespreken en je herhaalt slechts wat je wel uit komt. Dat is geen discussie voeren en naief doen waar je het over hebt.
Ik probeer niks mooier te laten lijken, ik zeg alleen dat dit misschien de beste oplossing was voor iedereen gezien de omstandigheden.

Ik praat nergens goed dat het bedrijf zo laks is omgegaan met hun backup-strategie.

Het is gewoon een menselijkere oplossing in vergelijking met een bedrijf ervoor failliet te verklaren en alle mensen op straat te smijten.

Het is niet omdat ik zeg dat ze niet failliet moeten, dat ik de lakse omgang goedkeur. Stop met alles zo zwart/wit te zien.

[Reactie gewijzigd door sithlord2 op 12 juli 2021 16:55]

Je doet beweringen door bepaalde zaken herhaaldelijk buiten beschouwing te laten. En als je daar kritiek op krijgt omdat het eenzijdig is is het ongepast om dan te doen alsof de ander zwart wit zou denken door je juist ook op de andere kanten te wijzen. Er mag daarbij wel wat blijk gegeven worden of je stelling los staat van je mening, want achtetaf wat beweren is zoals gezegd juist te makkelijk.
Eerlijk is eerlijk, je doet zelf EXACT hetzelfde. En je denkwijze is bovendien bijzonder krom.
Groeten van een Ex ondernemer.
Het is te makkelijk om dat te stellen zonder onderbouwing, terwijl we wel wettelijk en ethisch een maatschappij hebben waarin we geen plaats hebben voor criminaliteit en dat financieren en aanmoedigen. Dat hoeft toch hopelijk voor een ondernemer geen verdere uitleg.

Het is dus redelijker dat er iemand die liever criminelen betaald en aanmoedigt om de eigen keuzes dat pas doet als die open is of die wel te rechtvaardigen zijn. Maar gezien de weinige interesse om dat aan te tonen mag wel duidelijk zijn waar men voorkeur voor heeft: zo min mogelijk waarde hechten aan verantwoordelijkheid als dat niet uit komt en zo ver mogelijk bij die verantwoordelijkheden weg te blijven die voor problemen zorgden. En ondertussen klagen dat criminelen hun gang kunnen gaan en er schade is.

[Reactie gewijzigd door kodak op 12 juli 2021 22:44]

Kan ik wel doen, maar gezien je eerdere berichten op dit vlak weet ik al dat we het niet eens gaan worden. Oeverloze discussies zijn zo zonde van de tijd dus kunnen we beter laten.
Waardeloos argument, want tot nu toe gaat de discussie er om dat er geen argumenten gegeven worden. Dan kan je niet zomaar suggereren dat het geven van argumenten niets uit maakt, tenzij je argumenten bij voorbaat je al niet redelijk lijken of dat je zelf geen zin hebt in discussie op argumenten.
Alleen al het feit dat je mijn mening over het ontstaan van oeverloze discussies op een tech forum al een waardeloos argument vind zegt gelijk genoeg. Schijnbaar kick je er op om je zelfingenomenheid hier uitgebreid ten toon te spreiden. Alles wat jij vind of zegt is waar en een ander z'n mening is flauwekul of waardeloos etc. etc. Ik zou zeggen veel 'plezier' ermee, ik pas.
Anoniem: 493355
@sithlord212 juli 2021 16:56
Die stoere "We don't negotiate with terrorists!" praat werkt misschien in Die Hard films, maar de dagelijkse bedrijfswereld is een pak pragmatischer...
Zo ver ik weet, en dat is niet ver dat geef ik gelijk toe, onderhandelingen de meeste landen niet met terroristen. Het maakt niet uit wat er op het spel staat. Ik ben er van overtuigd dat het aantal gijzelingen of ander soort ellende veel vaker zou voorkomen als dat wel zo was. Het werkt IMHO dus zeker wel buiten de Die Hard films om. Dus ja, ik ben ook van menig dat als geen enkel bedrijf meer betaald, hoe triest ook de schade is, dan houdt dit probleem vanzelf op.
Wil je veel meer betalen voor een product of dienst van een bedrijf dat jouw principes hanteert ten opzichte van een bedrijf welke dat niet doet? Als je dat al zou kunnen weten?
Ik ben best benieuwd hoe je visie is op het betalen van losgeld voor ontvoerde personen.
Niet doen? Want je had ze maar beter moeten beveiligen?
Naar mijn mening gaat je hele (imo tamelijk van de realiteit losgezongen) logica mank op de impliciete aanname dat een ransomware besmetting altijd te voorkomen was geweest.
Dat is het onderwerp niet. Het betalen gaat in dit geval om ransomware om handel en financieen veiliger te stellen, waar niet direct levens vanaf hangen. En als dat wel zo is dan is het juist aan een bedrijf dat liever betaald om met duidelijke verklaringen te komen waaruit blijkt dat men echt niet anders kon.
Te makkelijk. Het gaat om de aanname die jij (impliciet) doet, dat áls je slachtoffer wordt van ransomware, je dan te allen tijde nalatig bent geweest in je beveiliging.
Ik ben daar niet van overtuigd.
En ik vind de vergelijking met een ontvoerd persoon helemaal niet onredelijk: je ondersteunt gewoon criminaliteit als je betaalt. Door deze ene persoon te redden breng je er vele in de problemen. Onethisch!
Waar stel ik dat volgens jou? Want mijn argumenten gaan er tot nu toe om dat iemand die de voorkeur geeft om te betalen niet zomaar kan stellen dat men er niets aan kon doen. Dat is namelijk de bewering die dit bedrijf doet, zonder ook maar een beetje bewijs te leveren waarom die bewering zou kloppen. Er is een groot verschil tussen menen geen keus te hebben en op zijn minst iets proberen aan te tonen waaruit dat zou blijken. Ik heb in het nieiws nog nooit gelezen dat er werkelijk geen redelijke keuzr was, hooguit dat men basiszaken weer niet op orde had en dat een prima excuus vond om criminelen te betalen en aan te moedigen. Ict en gegevens zijn geld waard. Als het echt geld is waar ze jiet meer bij konden met enorme gevolge dan had een bedrijf meestal al geen keus gehad en hadden anderen ingegrepen en afgevraagd hoe de ondernemers het zover hadden laten komen en waar de investeringen dan wel heen waren gegaan.
Ik zie je beweringen nergens over dit bedrijf gaan, maar over hoe in het algemeen er gereageerd zou moeten worden op een cryptolocker: liever failliet dan betalen. Dat was de reden dat ik het ‘van de realiteit losgezongen’ noemde. Misschien heb ik dat verkeerd gelezen, misschien ben jij niet zo duidelijk als je denkt.
Maar goed, ik ben het dus wel met je eens dat een bedrijf dat besluit te betalen best verantwoording zou mogen afleggen:
Welke tegenmaatregelen had je genomen? Welke afwegingen heb je genomen voordat je betaalde? Hoe zag het kosten/baten plaatje er uit?
En dat als dat allemaal heel laks of verwijtbaar is, er een boete moet worden betaald aan [insert security enforcer van de overheid ofzo].
Of dat in de praktijk haalbaar is betwijfel ik: bedrijven zijn niet ethisch. Die zullen ook zo’n boete simpelweg in een kosten/baten overweging meenemen. Of proberen uit het zicht te betalen (risico om daar voor gepakt te worden wordt ook gewoon weer als kosten/baten meegenomen)

[Reactie gewijzigd door Sebas1979 op 12 juli 2021 23:17]

Zijn jullie er al achter wie de grootste heeft?
Bespaar jullie de moeite. Ik heb namelijk de grootste.
En hoeveel klanten kijken er naar ethiek? Veel te weinig. Dan moet jij dus ook weer de nodige keuzes maken.

Op papier is het allemaal zo mooi en zo kinderlijk eenvoudig. Maar als je zelf de beslissingen moet nemen is het ineens heel wat anders.
In hoeverre zou het betalen van dit soort losgelden strafbaar gesteld kunnen worden?
Je zou het namelijk kunnen zien als financieren van een criminele organisatie.
het is al "niet legaal" om losgeld te betalen.
Je kan dit namelijk nergens in je boekhouding steken.

De workaround voor dit is dit bedrag te betalen aan een "security consultant" die in een land met een laksere wetgeving gevestigd is, en die daarvan dan bitcoin koopt, en het losgeld betaald.

Zo klopt de boekhouding nog steeds, heb je geldige invoices voor het geld, en is het losgeld toch betaald aan criminelen.
Tuurlijk kan je dit wel in je boekhouding steken. Wat denk je nu, dat een bedrijf dat betaald volgend jaar zijn jaarrekeningen niet krijgt goedgekeurd?
Ja.
Niet alleen moet elke (substantieele) uitgave in de boekhouding staan, er moeten ook bewijsstukken (lees: facturen) tegenover staan.

Anders zou elke CEO nooit belastingen betalen, want "ach ja, dat geld is gewoon verdwenen, en staat helemaal niet op mijn persoonlijke bankrekening"
Ze hebben met hun losgeld direct hun winst van 2020 verloren: https://www.companyweb.be/bedrijf/itxx/bv-bvba/474543004

Het is echt een klein bedrijf met slechts 8 werknemers. Vandaar dat ik er nog nooit van gehoord had.
Is er een organisatie die zich bezighoudt met het aanpakken van deze organisaties?
Ik hoop dat iemand nooit een wapen onder je neus duwt, en je portefeuille eist... want dan financier je ook een crimineel.
Zowel het financieren van criminelen als het bijdragen aan het in stand houden als het zelf voordeel nemen door dat allemaal liever te doen dan het ondernemersrisico nemen.
Ondernemersrisico wil niet zeggen dat je bij wat tegenslag je onderneming maar failliet moet laten gaan. Je hebt de optie om je onderneming te redden. Dan moet je die ook nemen, anders kunnen ze je nog aanklagen voor frauduleus failliet te gaan.
Verlies nemen is betalen en weer toegang krijgen tot de bestanden.
Vergeleken met de keuze om als ondernemer je bedrijf te stoppen is dat winst nemen. Men kiest namelijk om voorrang te geven er zelf voordeel bij te hebben door criminelen te betalen.
Want al je personeel ontslaan is gratis? Ontslagvergoedingen hoeven ineens niet meer of zo?
Dat was al een risico, dat is onderdeel van ondernemen. Door bij de vraag weg te blijven waar je als ondernemer, werknemer, leverancier en klant rekening mee hoort te houden voor er iets mis gaat heb je achteraf niet zomaar minder schade door iets te behouden.
Een beetje realiteitszin staat blijkbaar niet in je woordenboek als ik dit draadje lees, droom je simplistische droom maar verder.

[Reactie gewijzigd door mbbs1024 op 12 juli 2021 20:42]

Er is weinig simplistisch aan om een zware keuze te moeten maken. Maar dat wil niet zeggen dat het niet tot de mogelijkheden behoort en zeker niet als de argumenten daarbij zijn om selectief te tonen waar men verantwoordelijkheid zou nemen. Dat soort halve waarheden goede argumenten vinden om criminelen te betalen en ze aan te moedigen meer slachtoffers te maken is eerder simplistisch, oneerlijk en onethisch. Als je die discussie liever niet hebt vraag ik me af wat de bedoeling is van je weinig inhoudelijke reactie om te klagen.
In de regel zal een weldenkend mens pas als allerlaatste optie kiezen om een bedrijf failliet te laten gaan.
Als men een offline backup heeft en die terug kan zetten dan zal men dat liever doen dan criminelen betalen.

Jij mag prima stellen dat men kan overwegen om de bedrijfsactiviteiten te stoppen om zo te voorkomen dat criminelen nog meer gemotiveerd geraken om meer slachtoffers te maken, maar die afweging zal in de praktijk vrijwel altijd uitvallen voor het alsnog betalen van het losgeld.

In dit geval gaat het om een bedrijf waar acht personen werken (lees ik in de opmerkingen althans). Dit is op zich al erg genoeg. Ken jij de gezichten achter deze personen? Kan Edgar die 55 is en werkzaam als senior beheerder nog makkelijk elders aan een baan komen?

Hoeveel klanten worden gedupeerd? Zijn dat er honderden? Hoeveel daarvan gaan nu ook omvallen?
BIj die klanten van dit software bedrijf zijn vast wel mensen die misschien wel 10 tot 40 jaar gewerkt hebben aan het opbouwen van hun bedrijf. Ga jij die mensen vertellen dat ze hun bedrijf moeten stoppen omdat "betalen onethisch zou zijn"? Er zijn zelfmoorden gepleegd om heel veel minder dan dit.
Betalen kan in dit geval ook gezien worden als verantwoordelijkheid nemen aangaande continuïteit van de klanten.

Je kan maar weinig meepraten over consequenties als je het hele plaatje niet hebt. Losgeld betalen is in sommige gevallen toch wel de minste uit 2 kwaden.
Er is niemand bij gebaat als dit bedrijf ervoor gekozen had al zn werknemers en klanten te naaien door faillissement aan te vragen.
Als ondernemer maak je juist de berekening dat het meer oplevert om te betalen en verder te kunnen werken, dan je bedrijf failliet te laten gaan. Vergis je niet in wat het zou kosten om al die klanten schadevergoedingen te betalen, geen schijn van kans dat je vervolgens een doorstart kunt maken.

Dan beter losgeld betalen en iemand inhuren om het lek op te sporen en dicht te gooien.
Precies, neem je verlies, zet de trots aan de kant en werk aan de toekomst.
Lekker kort door de bocht, dit bedrijf heeft ook klanten, wil je die ook schade toe brengen en eventueel ook failliet laten gaan?

De keus is echt niet gemakkelijk, tuurlijk werkt betalen de criminelen in de hand en dat wil je liever niet. Maar als de schade dusdanig groot is en het ransomware bedrag betaalbaar…
Dan rest er maar 1 oplossing; het strafbaar stellen van losgeld betalen. Dan maar failliet.
Op deze manier komen we er sowieso niet van af.
IT bedrijf failliet, 60 andere bedrijven mogelijk ook want data kwijt ==> Kosten maatschappij miljoenen ...
IT bedrijf failliet, 60 andere bedrijven mogelijk ook want data kwijt ==> Kosten maatschappij miljoenen ...
Failliet niet maar wel tijdelijk moeilijker werken en slechtere klantenservice (mailing van 1 van de klanten van ITxx).
Ik ben slachtoffer geweest van een ransomware aanval op een hostingbedrijf en daar zijn meedere klanten (niet van mij) failliet door gegaan. Zij hadden helaas geen backups van data die cruciaal bleek te zijn voor het bedrijf. Stom natuurlijk, maar wat @OxWax zegt klopt dus helaas.

Wij hadden overigens zelf eigen offsite backups. Die hadden we ook nodig, maar zijn daardoor niet ten onder gegaan. De downtime zat hem vooral in het up and running krijgen van de hostingomgeving.
Moeilijker werken omdat het tijdelijk is en vele systemen eruit liggen met de gedachte dat die binnen enkele dagen hersteld zijn. Niet kunnen herstellen is totaal andere koek.
Uiteindelijk is het puur een kosten kwestie (en is het dus niet zo zwart/wit als je denkt en zijn er wel meer consequenties aan dan je denkt); wat is goedkoper om tot herstel van de situatie te komen.
Het strafbaar stellen van het losgeld te betalen gaat sowieso niet werken en brengt een slachtoffer alleen maar meer in de penarie, waar ze toch al in zitten.

"Dan maar failliet" is echt geen oplossing (en zeker voor het probleem an sich niet), dat brengt de kosten naar de maatschappij (o.a. doordat medewerkers opeens werkloos op straat staan en dat wil je ook niet, gok ik zo).

[Reactie gewijzigd door CH4OS op 12 juli 2021 13:28]

Ik lees geen enkel argument dat strafbaarstellen zou leiden tot ongewenste situaties. We stellen namelijk meestal iets strafbaar zodat mensen voor de betere alternatieven kiezen en minder voor de onethische kanten.
Het gaat niet zomaar op dat als financieren en bijdragen aan criminelen strafbaar is bedrijven dan maar geen andere maatregelen nemen. Het probleem is eerder dat men de maatregelen die al genomen kunnen worden nu al niet neemt om er in de tussentijd vooral zelf beter van te worden door winst uit te keren of in andere zaken te investeren dan behoud van de organisatie in zware tijden.
Ik weet niet of een bedrijf dat "dan maar failliet" moet gaan ethisch beter te verantwoorden is dan een bedrijf wat na betaling van het losgeld weer aan het werk kan, waarbij niemand op straat komt te staan en het bedrijf gewoon kan blijven bestaan, met een flinke deuk in de omzet.

Te snel rijden mag ook niet, krijg ja (al dan niet automatisch) ook een boete voor en gebeurd toch. Inbreken is ook ethisch gesien slecht, ook strafbaar en gebeurd ook... Hiermee wil ik het overigens niet goed praten, maar ik denk niet dat het meerwaarde biedt; bedrijf is op dat moment (gedeeltelijk) lam, het dan maar de nek omdraaien is simpelweg te rigoureus.

[Reactie gewijzigd door CH4OS op 12 juli 2021 15:09]

We hebben het hier niet over kleine overtredingen maar strafbare zaken als gevolg van vaagheid waar ondernemers de grens leggen tussen vooraf duidelijk ethisch handelen of dat zowel vooraf als achteraf ook te grabbel gooien om er zelf beter van te worden en blijven. Ik lees vooral claims dat men niet anders kon, maar dat men het niet eens wil laten blijken. Ethiek is geen kwestie van geen meerwaarde willen zien in duidelijk zijn waarom je bepaalde keuzes maakt als het jezelf beter uit komt de redder uit te hangen.
Dat is vanuit daders perspectief gezien inderdaad. Maar er zitten natuurlijk meerdere kanten aan. Ik vind het niet te verkopen als een bedrijf 'dan maar failliet' moet gaan omdat het bedrijf geen losgeld mag betalen (als het strafbaar zou zijn gesteld), moet zo'n medewerker dat maar "betalen" met zijn baan en de samenleving doordat die persoon opeens in de WW zit? Is dat zoveel te beter?
Het is niet redelijk om alleen maar de negatieve kanten op te sommen en te doen alsof dat uit komt. Als er bestaansrecht is dan hoef je je daar zelfs geen zorgen om te maken. Daarbij vraag ik me af wat er redelijk aan is dat je als medewerkers, leveranciers, klanten en samenleving denkt geen risico te hoeven nemen als je je afhankelijk opstelt van gebrek aan transparantie hoe een ondernemer de winst weg zet om risico te nemen. Dat men liever kiest voor betalen van criminelen en dat in stand te houden klinkt dan nog steeds niet redelijk of zelfs ethisch. En dat is niet wat we als samenleving vragen als we tegen criminaliteit zijn.
Men kiest ervoor te betalen, als blijkt dat dat de goedkopere optie is om de schade te herstellen, dat heeft niets met risico te maken, maar is gewoon een kosten en baten afweging. Dat kunnen we hier dan misschien onethisch vinden, maar aan de andere kant gaat nu tenminste een bedrijf ook niet voor Jan Doedel ten onder.

Ik vind het dan ook best utopisch om te zeggen dat je 'niet moet willen' om dergelijke criminelen te betalen. Als het nu eenmaal goedkoper is dan alles opnieuw op te bouwen, om maar wat te zeggen, dan hoeft het op zich dus echt zo'n slechte beslissing niet te zijn.

[Reactie gewijzigd door CH4OS op 12 juli 2021 16:00]

Dat heeft wel degelijk met risicos te maken. Of men eerder en nu een juiste afweging heeft genomen hangt namelijk af van wat men wenst te accepteren of niet wenst te erkennen of bespreken. Daarbij gaat een bedrijf niet ten onder aan het niet betalen maar aan alle eerdere keuzes. Gevolgen van keuzes is realiteit, er voor wegkijken is just een poging tot utopie en er niet van willen leren. Het is in stand houden dat je met mooie beweringen onethische keuzes kan verkopen als iets ethisch, terwijl men ondertussen ook de winst heeft genoten en liever criminelen betaald en in stand weet te houden. De enige redelijkheid is dus open en eerlijk zijn waarom je genoeg meent te hebben gedaan als je dit doet. Maar zelfs dat lijkt er niet in te zitten, het betalen dient dus als excuus voor zelfbehoud, niet voor redelijkheid.
Dan mogen we nog heel wat dingen strafbaar gaan stellen als dat de reden is waarom we dingen strafbaar maken.

Je weet ook niet welke maatregelen bedrijven wel of niet nemen. Waarom gaan zovele mensen er toch altijd van uit dat een bedrijf dat slachtoffer wordt van ransomware of hackers zijn zaakjes helemaal niet in orde heeft, niet investeerd in cybersecurity?
Laten we deze redenering gewoon doortrekken nu we toch bezig zijn...

- Iemand duwt een wapen onder je neus en eist je portefeuille. Slachtoffer is strafbaar want houdt criminaliteit in stand. Hij had maar maar een bodyguard moeten inhuren.
- Toerist wordt ontvoerd in Mexico voor losgeld. Niet betalen, laat hem sterven. Zal 'm leren om naar zo'n gevaarlijk land te reizen. Losgeld betalen is immers criminaliteit faciliteren.
- Je hebt geen alarminstallatie maar er wordt toch ingebroken? Ook best geen geld afgeven, want dan steun je ook de criminaliteit. Laat die dieven maar jou en je familie bij mekaar kloppen, je hebt het zelf gezocht. Had je maar alarm moeten plaatsen.

Ik durf wedden dat je in bovenstaande stellingen waarschijnlijk nog niet eens een probleem ziet.
Is dit dan niet zo? Dit is toch uiteindelijk iets in de zin van "Ondersteuning aan criminele organisatie" of eigenlijk zelfs "heling"? Hoe abstract de termen of context ook kunnen zijn, beetje advocaat of procureur vind wel iets om het strafbaar te maken. Maar hij/zij moet wel willen.
En dan? Het wordt strafbaar om losgeld te betalen, so what?

Als je je bedrijf kan redden met losgeld te betalen + de eventuele boete erbij te nemen, zouden ze net hetzelfde gedaan hebben. En ja, het zal bij een boete blijven, want geen enkele rechter gaat hier een gevangenisstraf voor opleggen. Er zijn genoeg verzachtende omstandigheden: er voor gezorgd dat klanten terug aan hun data kunnen, continuiteit van het bedrijf verzekerd, verhinderd dat men personeel heeft moeten ontslaan... Bedrijf krijgt hoogstens een tik op de vingers als het al strafbaar zou zijn. Tenzij iemand kan aantonen dat hij/zij directe schade heeft geleden.

Zelfde geldt ook voor losgeld in alle andere situaties. Denk je echt dat iemand er wakker van ligt dat hij een boete krijgt als hij losgeld betaalt om een ontvoerd familielid terug te krijgen? Die is al blij dat hij die persoon uberhaupt levend terug ziet.
Lekker makkelijk. Er zijn meerdere bedrijven die essentiële diensten en producten leveren waar andere bedrijven/personen moeilijk zonder kunnen. Een gezond bedrijf failliet laten gaan heeft grote consequenties voor het personeel, aandeelhouders, toeleveranciers, afnemers en werkgelegenheid in de regio.

250 duizend euro is dan een klein bedrag om dit te voorkomen. We moeten naar goede voorlichting en professionalisering toe en niet het onnodig straffen van fouten.

Het is natuurlijk laakbaar dat ze de back-ups niet op een goede wijze hebben ingericht.
En wat zou de straf moeten zijn dan?

Want ik kan je vertellen: De meeste bedrijven pakken gewoon die boete, de enige mogelijke straf aangezien je een bedrijf niet kunt opsluiten, er bij aangezien dat waarschijnlijk nogsteeds de meest economische oplossing is.

Strafbaar stellen heeft de overtredingen nog nooit vermindert.
Je komt er nooit van af. Misdaad los je niet op door slachtoffers verder af te straffen.
en dan? veranderd er nog niets! bedrijven failliet - werknemers werkloos. top oplossing!

Als je iets wettelijk zou willen regelen, is het wel verplichting van fatsoenlijke backup-procedure; de investering valt reuze mee en dat zou de ellende van een 'hack' / 'ransomeware' een stuk minder zwaar maken. (men heeft immers een off-site/offline backup)

[Reactie gewijzigd door himlims_ op 12 juli 2021 13:21]

Wat heb je er dan precies als hacker aan om bedrijven plat te leggen? Werkgevertje pesten?
Zoals in het artikel wordt gezegd: 252.000 euro.
Het idee van @Steyn_E is, denk ik, dat er geen losgeld meer betaald gaat worden als het strafbaar is. Dus als je weet dat bedrijven geen losgeld meer gaan betalen, waarom zou je ze dan platleggen?
Aandelenkoersen beïnvloeden, economische sabotage van een bedrijf in een vijandig land en omdat strafbaarstelling nog niet betekent dat er niet betaald wordt. Als je kan kiezen tussen een risico op een tik op de vingers tot zelfs gevangenisstraf of een faillissement van jouw en andere bedrijven, dan is de keuze vaak snel gemaakt.

[Reactie gewijzigd door sampoo op 12 juli 2021 16:00]

Het betalen van losgeld gaat vaak via cryptovaluta en is niet te traceren. Hierop handhaven is dan ook onmogelijk en hier maken criminelen dan ook graag gebruik van ;)
Dan zet je constructies op waardoor het wel weer legaal is. Ik ben getroffen door ransomware. Ik betaal firma X uit de kaaimaneilanden een half miljoen om het op te lossen. No questions asked. 3 dagen later komen zij de boel ontsleutelen voor mij en ik krijg er nog netjes een factuur voor ook.
omdat mensen dat leuk vinden
Die vraag ging over de hypthetische situatie dat losgeld betalen strafbaar is. Dat maakt het verdienmodel voor criminelen een stuk lastiger. Wat als je slachtoffer wel wil betalen maar niet mag?

Waarschijnlijk krijg je dan een soort constructie waarbij je een 'security onderzoeker' 300.000 dollar over mag maken voor een rapport over hoe je kwetsbaar bent met daarbij een gratis decryptiesleutel. Het blijft lastig...
Ik had het verkeerd gelezen inderdaad! Maar deze vraagstukken zullen altijd lastig blijven en vooral ook in de politiek hoe je dit met wetten/regels kan oplossen/voorkomen.
Je hebt aan 1 kant gelijk, maar het aantal aanvallen droogt dan ook snel op.
Als het wettelijk verplicht is geen losgeld te betalen, is het de effort niet meer waard.
Misschien een nood-fonds oprichten voor schade herstelling... maar hij heeft aan de andere kant gelijk: zo komen we er niet vanaf.
Tja dan gaan ze stiekem alsnog die bitcoins wel overmaken, het is voor de directie natuurlijk een te makkelijke rekensom. Ofwel je betaalt een paar ton tot een paar miljoen (uit de bedrijfskas) of je bedrijf gaat failliet, je mag je lease-auto inleveren, je salaris wordt niet meer betaald en je staat als de loser van het jaar bekend.

Enige dat je wint is dat niemand meer weet hoeveel er eigenlijk betaald wordt, en dat dit soort hacks verder uit de publiciteit gehouden worden, zodat de criminelen meer slachtoffers kunnen maken. Top!

Wat we eigenlijk moeten doen is bovenop dat losgeld ook een boete van X miljoen gooien voor het slecht beveiligen van persoonsgegevens. Dan wordt het nog duurder om gehackt te worden, en is het misschien onderaan de excel-sheet goedkoper om je IT-departement z'n zin te geven en eens te beveiligen.
Da's niet eens een gek idee. Een soort 5x de jaarlijkse kosten van een goede IT beveiligingsteam ofzo.
Denk wel dan in functie van de grootte en slagkracht van het bedrijf. Ik zie een zelfstandige niet een voltijdse kracht in dienst nemen puur voor veiligheid. Maar een bedrijf die invloed heeft en ook nog een x aantal klanten die zou moeten een eis krijgen om op zijn minst een back up voorziening op te zetten.
Case in point: https://www.thuisbezorgd.nl dat op dit moment wordt aangevallen.

[Reactie gewijzigd door abia2koha op 12 juli 2021 17:33]

Hoe kan je stiekem geld over maken. Je heb te maken met een bedrijf en dus een boekhouding. even geld wegmoffelen naar bitcoin gaat toch echt vragen geven bij de belastingdienst. Onder de streep mak je dus nog een ,ega boete betalen omdat je A. de wet overtreden heb en B je boekhouding niet op orde is en er geld verdwenen is.
Gezien bouwfraude en andere grapjes nog steeds voorkomen, en bedrijven best creatief kunnen doen (dit valt gewoon onder onderhoudskosten van je IT-systeem, toch?) denk ik dat er best wat te ritselen valt. Mocht het echt niet anders kunnen dan verhogen we het salaris van de directeur met 2.52 ton, ingaande nu, en betaalt hij het even van 'eigen rekening'. Klaar (en volgend jaar is ie weer een stuk rijker).
Ik denk niet dat het snel op zal drogen dan als je wettelijk gezien niks meer mag betalen. De schade zal alleen maar groter worden..
En wie bepaalt wat "fatsoenlijke backup-procedure" backups zijn? Dit is gewoon een te vage omschrijving voor een wet, want die moeten eenduidig zijn, en niet voor verschillende interpretaties vatbaar.

Wat je meestal ziet is dat bedrijven zich laten verzekeren tegen dit soort schade (met een max. bedrag natuurlijk), en legt de verzekering voorwaarden op betreft backups etc...
Wie hier heeft ooit al eens succesvol een volledige omgeving hersteld vanaf backup?

Ik kan me niet inbeelden dat zoiets goed gaat komen om alles vanaf 0 uit backup te gaan halen. Verwacht dat je mogelijks weken gaat bezig zijn met alles terug up and running te krijgen en in sync te kijrgen. En het is niet enkel je omgeving vanaf backup herstellen natuurlijk.
duurt dagen - nog altijd beter dan bedrijf opdoeken
Ik denk toch echt dat je met een bedrijf van iets of wat omvang met dagen niet toekomt. Ik verwacht zelf dat het weken zal duren voor een bedrijf van enige omvang. Als je duizenden servers moet gaan redeployen vanuit backups, alles moet valiideren tussendoor en daarnaast ook nog eens duizenden computers van gebruikers. Dat doe je niet op enkele dagen. Als het al haalbaar is. Want als je die richting uitgaat, wat kan je nog vertrouwen van je backups en je gebruikers?
Daar heb je net disaster-recovery procedures voor, en die zouden jaarlijks moeten getest worden.

Zelf ook meegedaan bij een vorige werkgever: naar een apart datacenter met de backups waar de nodige servers klaarstonden, en restoren van scratch. We waren +- 95% operationeel in minder dan 24u.
Hoewel waar, is dit wel een ouderwets scenario waarbij je er in eerste instantie vanuit gaat dat alle diensten op de eigen locatie worden gehost.
Stel je hebt je ERP uitbesteed en die dienstverlener wordt gehacked en slachtoffer van ransomware?

In moderne DRP procedures wordt vaak naar SLA's met leveranciers verwezen. maar zelf data herstellen waar je niet altijd -direct- zelf toegang toe hebt is niet aan de orde.

Puur hypothetisch, maar als een salarisverwerker als ADP ooit door ransomware aanval getroffen zou worden en er zou blijken dat er geen goede herstelmogelijkheden zijn dan zijn er heel wat bedrijven die er achter gaan komen dat hun DRP procedures niet afdoende zijn.
Wij hosten ook niet alles zelf toen. Wij hadden een aparte leverancier voor DRP voor hosting.

Tuurlijk, je kan dit eisen via SLA's, en dat is het niet langer jouw probleem, maar persoonlijk vind ik dat toch riskant, je toekomst van je bedrijf hangt er immers vanaf. Daar heb je liever zelf nog wat controle over. (puur mijn persoonlijke mening)
Tja, zolang er betaald wordt neemt ironisch genoeg het risico dat je in de toekomst nogmaals slachtoffer wordt alleen maar toe (veel meer toe, als ik kijk naar hoe goed dit "werkt" loont). En naarmate er meerdere partijen tot dit soort criminaliteit overgaan wordt de pakkans ook nog eens kleiner, opsporingsdiensten hebben maar beperkt aantal resources namelijk.
Niet gierig doen voor goede access mangement software? Dat is een begin.
het is achteraf simpel gezegd; had maar goeie backups / beveiling procedures doorgevoerd. maar daar heeft een bedrijf op dat moment niets aan.
Voor uitgerekend een IT bedrijf had dit gewoon standaard moeten zijn. Een hogeschool of universiteit kan ik nog begrijpen er problemen mee te hebben, of elk ander bedrijf. Maar van een IT bedrijf verwacht ik dat zij dit soort zaken goed op orde hebben. Anders zou ik ook geen vertrouwen in ze hebben.
Aan backups heb je ook weinig. Vele ransomware aanvallen penetreren je netwerk en wachten vervolgens maandenlang voordat men de encryptie activeert.

Je backup zet dus gewoon hetzelfde weer terug. En aan een backup van 6 maanden geleden heeft geen enkel bedrijf iets.

Beveiliging beter dan? Altijd een goede zaak, maar men kan ook een medewerker omkopen die even een poortje openzet.
vandaar een goede backup procedure; offsite, periodiek, (incementeel), restore keertje testen. Dat zou wettelijk gewoon afgedwongen moeten worden (zeker voor mkb). Een groote multi-national met vele TB's aan data - wordt herstellen lastig (als in tijdroven).

Beveiliging/updates kan nog zo strak zijn; zit er een 0day tussen - ben je uiteindelijk gewoon een keer de lul.
(Buitensporig) betalen voor een sleutel zou als financieren van een criminele organisatie, of als bijzondere vorm van heling strafbaar gesteld moeten worden. Evt. In combinatie met 0 aftrekbaarheid. Dan is het zo gedaan.
Ik hoor telkens weer "waar waren de backups"?
Maar dit is een MSP. Grote kans dat zij op het netwerk van de klanten werken.
Dus die 60 getroffen klanten hadden hun backups niet op orde.
En somehow is die ransomware via ITxx bij al die klanten binnen gedrongen.

Als MSP zou je niet de mogelijkheid moeten hebben om backups te maken van je clientgegevens, m.i.

[Reactie gewijzigd door Timoo.vanEsch op 13 juli 2021 19:10]

Vergeet ook niet dat er geen garantie is dat je na betaling alsnog de sleutel krijgt.
Maar ze zullen wel een financieel risico en impact berekening hebben los gelaten wat het per uur kost ten opzichte van het restoren/her-opbouwen en de gok hebben genomen om zo z.s.m. weer online te zijn.

Maar helaas voed je de criminelen wel voor meer.

Edit: zag ook een reactie over dat de 250k beter aan security besteed kon worden. Helaas is dit allemaal maar achteraf en is dit iets wat boven op de gemaakte kosten er dan nog bij komt. Hier hebben ze in deze situatie nu niets aan omdat het kwaad al geschied is. Wel is dit een investering die het waard is voor de toekomst natuurlijk.

[Reactie gewijzigd door Raxus07 op 12 juli 2021 13:14]

Heb je het al eens meegemaakt? Bij de zaken waar ik zelf het van heel dichtbij heb gezien is dat ze na betaling altijd wel de decrypters opsturen en ze zelfs willen helpen om alles weer online te krijgen.

Als ze namelijk niet de decrypters leveren dan gaat straks niemand meer over op betaling en dat is een slecht business model.

[Reactie gewijzigd door d5stick op 12 juli 2021 13:45]

Er zijn situaties gebleken waarbij er geen sleutels werden geleverd. Overigens ben ik het er mee eens dat ze natuurlijk het model in leven willen houden. Wellicht ligt het er aan welke groep dit doet en voor welke doeleinde ze het encrypten. Sommige zijn directe aanvallen waarbij het betalen een schijn is.
Die zijn zeldzaam, zeer zeldzaam. Bijna altijd zie je dat na betaling de sleutel wordt gegeven en dat ze je helpen als dat nodig is.

Er is wel eens malware geweest wat zich voordeed als ransomware maar waarbij de malware zo geschreven was dat ontsleutelen simpelweg onmogelijk zou zijn. Maar daarom werk je ook samen met experts die dat nagaan voordat je tot betaling overgaat. Meestal eis je ook bewijs dat ontsleuteling mogelijk is voor je tot betaling overgaat.
Zie ik gebeuren, maar volgens precies dezelfde redenatie is het het betalen van losgeld dat het duidelijk winstgevend maakt voor hackers hier tijd in te stoppen...
En hoe groot is het risico dat ze over een half jaar nóg een keer langskomen?
Als ze binnen komen ga je zoeken hoe ze binnen kwamen en dat lek dichten en extra maatregelen nemen.
In de situaties waar ik het mee gemaakt heb kwam er een 3e partij die de infectie ging uitpluizen en de huidige security nalopen. Hier werden vervolg stappen opgenomen.

Als je dat niet doet, vraag je erom dat ze nogmaals langs komen.
Dat je na betaling de sleutel krijgt is bijna gegarandeerd, tenminste als het de hackers om het geld te doen was. Want door te leveren na betaling houden ze het verdienmodel in stand.

Het IT-bedrijf zal geen nauwkeurige kosten en baten berekening kunnen maken, simpelweg omdat het niet om hun data gaat maar dat van klanten en er daardoor te veel onzekerheden zijn. Ze kunnen wel bekijken wat het kost als de klanten vertrekken, maar daar komt ook nog een grotere reputatierisico en juridisch aansprakelijkheidsrisico bij kijken zeker als blijkt dat ze helemaal niets kunnen doen zonder losgeld te betalen.
Geen nauwkeurige, maar een grove kosten/baten analyze zal je al snel laten zien dat met dit soort lage bedragen betalen voordeliger is dan een poging te gaan doen om te herstellen wat alsnog resulteert in dataverlies en daardoor nog meer imageschade bij de klanten.
En maar reageren zonder kennis te hebben van dit soort zaken....

Je wordt gehackt. Hacker zegt "Betalen of je Data ligt op straat"
Je betaald niet. Je hele bedrijfshouden word op straat gesmeten, Je klanten gaan weg want ook hun data ligt op straat... Jij hebt gezeik met het AP, Je klanten hebben gezeik met AP, Want het is ook hun data dat daar voor het oprapen ligt. Er komt van alles en nog wat aan journalisten op je af. Je bedrijf is zo'n beetje weg want wie wil er nu nog klant bij jou worden? Een nieuwe bedrijf starten? Tja.... Jij bent voormalig eigenaar van een bedrijf dat gehackt werd, te trots was te betalen en dus je hebben en houwen op straat heb liggen. Een baan zoeken bij een ander bedrijf? Succes! Je hebt je vorige bedrijf om zeep geholpen, waarom zouden ze jou aannemen?

Wat jij niet realiseert is dat wanneer je gehackt word je hier specialisten voor inhuurt, zoals bijvoorbeeld Northwave Security. Zij ondersteunen een gehackt bedrijf en geven advies over de vervolgstappen, ook zorgen zij voor het contact met de hackers mits dat mogelijk is. Zij adviseren dus ook of je moet betalen of niet.

Iedereen roept wel 'Niet betalen dan gebeurt het niet meer" maar denk je echt dat het zo werkt? Dan ben je naar mijn inziens enorm naïef, we hebben het over een partij dat al de wet overtrad om het bedrijf te hacken? Denk niet dat het ze uit maakt of ook jij de wet moet overtreden om te betalen. Het argument dat vaak gegeven word is "Je krijgt de tools toch niet!" Maar dat argument is zo lek als een zeef. Waarom zou je ze niet krijgen? Die groep krijgt naam bekendheid hierdoor. Als zij de tools niet geven word hun integriteit besmeurd en kunnen ze het kunstje niet meer doen en is het feest klaar na 1 bedrijf i.p.v. nog 20 bedrijven die elk een fors bedrag betalen. In de meeste gevallen krijg je de tools om je netwerk weer veilig te stellen.

Ik ga in met wat @himlims_ zegt. Zorgen voor een goede back-up waardoor je je data niet verliest en je je systemen zo snel mogelijk weer in de lucht hebt. Stilstaan is voor bedrijven vaak duurder dan het losgeld betalen.
Ik ga in met wat @himlims_ zegt. Zorgen voor een goede back-up waardoor je je data niet verliest en je je systemen zo snel mogelijk weer in de lucht hebt. Stilstaan is voor bedrijven vaak duurder dan het losgeld betalen.
Ik weet niet of je het ranswomware nieuws volgt maar een goede backup is hier geen beveiliging tegen. Een goede ransomware aanval blijft een paar weken onder de radar. Je backups zijn de afgelopen weken dus ook gewoon versleuteld. Recente backup terugzetten is zinloos, onversleutelde backup is zo oud dat bij terugzetten weken werk verloren gaat en het dus alsnog goedkoper is om te betalen.

De enige remedie is goede beveiliging en eventueel een honeypot als heuristisch mechanisme.
Daar ben ik bekend mee, Echter kan het voorkomen dat je infrastructuur kapot gaat tijdens het ontsleutelen. Dan kan je de data kwijt zijn. Dan denk ik dat je liever een achterstand hebt van een paar weken dan dat je niks meer hebt.

Wat ik wilde zeggen is dat je zowel kan betalen betalen als een goed backup systeem moet hebben om je data zo goed mogelijk veilig te hebben mocht er wat verkeerds gaan tijdens het ontsleutelen of bij het versleutelen.
Je zou natuurlijk een backupsysteem kunnen maken die alleen simpele documenten backupt en waarbij dat slechts een kant op kan. Alsof je backupt naar een read-only sandbox. De documenten van elke dag worden dan in een read-only sandbox opgeslagen. Dan kan het wel zo zijn dat die sandbox ook besmet is, maar die besmetting heeft die documenten niet kunnen wijzigen omdat het read only is.

Dat soort dingen kosten natuurlijk hartstikke veel tijd, en dan i het wederom waarschijnlijk goedkoper om gewoon te betalen.

[Reactie gewijzigd door klonic op 12 juli 2021 20:54]

Je zou natuurlijk een backupsysteem kunnen maken die alleen simpele documenten backupt en waarbij dat slechts een kant op kan. Alsof je backupt naar een read-only sandbox. De documenten van elke dag worden dan in een read-only sandbox opgeslagen. Dan kan het wel zo zijn dat die sandbox ook besmet is, maar die besmetting heeft die documenten niet kunnen wijzigen omdat het read only is.
En hoe zou dat dan moeten werken?
Vandaag maak jij een document. Dat wordt naar de sandbox geschreven.
Morgen wordt het document door de malware encrypted. Daarmee dus verandert en daarmee dus naar de sandbox geschreven, over het oude document heen.
Doe je dat laatste niet dan ga je heel snel tegen opslag limieten aan lopen. De hoeveelheid data die een bedrijf genereerd moet je niet onderschatten.

Resultaat: Backup van gisteren terug zetten heeft geen zin. Nog sterker; er zijn gevallen bekend waar de malware al weken of maanden bezig was....
250/60 = iets meer dan 4k per bedrijf dat niet kan werken. Beetje bedrijf heeft dat aan omzet per uur ...
Over omzet van hun klanten kan je niet veel zeggen en is voor ITxx zelf ook niet relevant denk ik. De klanten van ITxx zijn o.a. rekruterings- en selectiekantoren, dienstenchequebedrijven en enkele boekhoudkantoren.

Mooi gebaar van sommige klanten van ITxx om mee te betalen om weer toegang te krijgen tot hun data.
Al is het per dag ...dat ze niet aan hun data kunnen. Het is maar een voorbeeld to make a point ;)
Geen andere optie (in dit geval..)
Hopelijk is het 1 keer betalen en ondertussen wel de organisatie en infrastructuur zo verbeteren dat een volgende aanval zowel kan worden gepareerd als ook dat na zo'n aanval de organisatie zonder te betalen weer opgebouwd kan worden.

Dus het lek dichten en de restore/recovery verbeteren. Mijn eerste inschatting is dat ze een online backup mogelijkheid hadden die net zo makkelijk is versleuteld als de online omgeving. Nu dus een offline backup omgeving regelen... (mijn gok/inschatting, niet gebaseerd op deze zaak)
Als ik getroffen zou zijn door dit soort eikels, dan zou ik als ik dan toch moest betalen een groot nieuwsbericht de deur uit doen waarin ik zou schrijven dat ik ondanks dat ik had betaald geen toegang kreeg tot mijn data, en uiteindelijk na heel veel moeite zelf backups heb kunnen terugvinden.
Tja dan hacken ze je rustig nog een keer, 't is niet alsof je beveiliging nou zo top was.
kosten/baten en risicoafweging. ;)
Als jij een alternatief weet dan horen ze vast graag van je.
Ik merk dat ze zich vooral proberen in te dekken.
Ze treffen geen schuld en ze beweren zelfs dat de ransomware de hard disks in hun 2de data center, waar de backups opstonden, stuk gemaakt heeft 8)7
Waar heb je deze info vandaan ? Ik heb wat links doorgelezen, maar kan nergens vinden waarin ze aangeven hoe die hackers binnen zijn gekomen.

Ik ben toch wel erg benieuwd of ze weten hoe die hackers binnen zijn gekomen ? Of misschien doen ze hierover geen uitspraken.
'Bij onze tweedelijns backup, in een tweede datacenters, zijn zelfs de harde schrijven stukgemaakt door de ransomware. De daders waren goed voorbereid, dat hebben onze securitypartners intussen ook bevestigd.'
https://datanews.knack.be...l?cookie_check=1626091752
Dat ITxx geen schuld trof...
Offline backups icm het controleren of de gebackupte data niet versleuteld is lijkt me alles wat nodig is om iets dergelijks te voorkomen?
Grappig dat de grootste bedrijven bij de vleet worden getroffen door deze aanvallen terwijl 't allemaal zo simpel is op te lossen. Ik vind dat je moet solliciteren, kun je geld mee verdienen!
En waarom zo het lastig zijn dan?
Het is een kosten baten analyse. En hier is waarschijnlijk gezegd dat de kosten niet opwogen tegen het risico. Want bij de berekeningen is er geen rekening gehouden met een kostenpost van het kwijtraken van alle klant data want die kans is minimaal. En de kosten om dit te implementeren waren te hoog. Net als nu er een rekensommetje gemaakt wordt: Klanten en data kwijt vs betalen losgeld. Kies de goedkoopste en problem solved.

Zolang security cost & budget driven is zullen dit soort 'simpele' zaken blijven gebeuren.
Alhoewel dat een mogelijkheid is (als de backups niet mee geencrypteerd zijn), is dat niet altijd de goedkoopste oplossing. Hangt natuurlijk ook af van de setup en scope van hun omgeving, maar ik kan me voorstellen dat 250K nog niet zo veel is in vergelijking met een disaster recovery (=data loss) en mogelijke kosten ivm SLA's voor 60+ klanten.
Helaas is dat niet het geval want wie weet hoelang ze al aanwezig zijn en ook je backups niet al hebben geinfecteerd?
Ook offline backups worden aangevallen en versleuteld!
Hoe zie jij dat (technisch) gebeuren? Ben ik heel nieuwsgierig naar!
Geen idee maar mijn werkgever heeft het meegemaakt
Hoe strafbaar ben je eigenlijk als de hackers zijnde? Praat je hier echt over 15 jaar cel met internationaal opsporings bericht of is dit meer van de paar weekjes schoffelen op het bureau?

[Reactie gewijzigd door ro8in op 12 juli 2021 13:29]

Artikel 350a
1 Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie. (Max € 21.750)

2 Artikel 138b, tweede en derde lid, is van overeenkomstige toepassing.

3 Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie." (Max € 87.000)
Los van dit alles kan het slachtoffer nog een procedure ter schadevergoeding opstarten.

EDIT: Ik vergat nog te vermelden dat er naast de ransomware zelf nog dingen als bijvoorbeeld deelnemen aan een criminele organisatie ten laste kunnen gelegd afhankelijk van de situatie en dat alleen al is een zelfstandig delict met een max van 6 jaar.

[Reactie gewijzigd door Groningerkoek op 12 juli 2021 14:36]

En de klanten betalen de prijs zo meteen...en dan nog een IT bedrijf dat gehacked wordt, dan kan je wel sluiten denk ik..

[Reactie gewijzigd door vinkjb op 12 juli 2021 13:06]

als ze hun eigen zaken al niet goed op orde kunnen brengen of het niet belangrijk genoeg vinden hoe kan je dan verwachten dat ze dat voor klanten wel doen? Als klant kan je zon bedrijf eigenlijk niet meer vertrouwen
Dat ligt er maar net aan hoe men binnen is gekomen en hoe men de verspreiding heeft kunnen uitvoeren.
Het is karig om nu al te zeggen zonder details dat hun beveiliging ruk is ook al zijn ze binnen gekomen.
In ieder geval zal het wel zuur zijn voor de klanten en ITxx zelf want zo prezen zij zichzelf aan op hun Over ons pagina (Google cache:
We zetten onszelf in jouw schoenen en zoeken samen naar betrouwbare en budgetvriendelijke oplossingen.

Zo nemen we het beheer van je ICT servicedesk uit handen of helpen we bij het beschermen tegen virussen, malware en hacking.
Vrijwel alle hosting / security bedrijven adverteren dit, maar alles en iedereen is te hacken. De een alleen wat makkelijker dan de ander.
Tuurlijk, maar blijft toch zuur nu die marketingpraat. Misschien is dat ook een reden waarom die pagina nog niet terug online is; eerst herschrijven naar iets wat momenteel beter gepast is. Misschien ook om juridische redenen.

[Reactie gewijzigd door ejabberd op 12 juli 2021 18:51]

De korte termijn oplossing 'dan maar betalen' voor 1 bedrijf, is gelijk een investering in toekomstige ransomware aanvallen voor andere bedrijven waardoor het probleem steeds vaker gaat spelen.
Slimme bedrijven betalen al aan hun security... domme bedrijven wachten tot ze de criminelen mogen betalen.
ITxx claimt dat het 'geen schuld trof' in de infectie.
Opmerkelijke uitspraak. Hoe kon het dan gebeuren?
Opmerkelijke uitspraak. Hoe kon het dan gebeuren?
Een 0-day exploit van software die aan het internet hing. :)

Ik weet niet door welke ransomeware het bedrijf getroffen is en van welke exploits die gebruik maakt om een gedegen inschatting van de uitspraak te maken.
Ook een 0-day hoort gewoon in je risicoafweging te zitten als je iets direct ontsluit via het internet...
helaas geen info over hoe men er in geslaagd is het netwerk te penetreren

[Reactie gewijzigd door OxWax op 12 juli 2021 13:06]

Oftewel, geen of slechte backup.

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee