Secutec maakt einde aan ransomwareaanval op 50 Belgische bedrijven
by Secutec
De hackersgroep Conti zat achter de ransomwareaanval van 2 juli op de Vlaamse ICT-dienstverlener ITxx. Dat blijkt uit onderzoek van het Aartselaarse cyberbeveiligingsbedrijf Secutec. Vele kmo’s brengen hun toepassingen en gegevens onder in de cloudomgeving van ITxx, dat ook diensten levert voor computertelefonie. Door de ransomwareaanval werden de gegevens van de dienstverlener maar ook van 50 klanten meteen onbruikbaar. Een week na de hack ontving ITxx gisteren de encryptiesleutels en kon het de versleuteling opheffen. Samen met Secutec vernieuwde ITxx intussen zijn volledige netwerk- en cybersecurityomgeving.
De hackersgroep eiste op 2 juli 1,5 miljoen dollar van ITxx en zijn klanten, te betalen in de digitale munt bitcoin. De groep versleutelde alle actieve data en wiste de back-ups. Liefst 50 Belgische kmo’s, van boekhoudkantoren tot interimagentschappen, waren daardoor een week lang niet operationeel. Een duizendtal medewerkers had immers geen toegang tot de informaticasystemen van hun werkgever.
Losgeld
“We hebben de hele week actie ondernomen om de gewiste back-ups terug te zetten, maar Conti gaat uiterst professioneel te werk. Vaak is er nog een spoor, maar uit nader onderzoek bij onder meer een Noorse firma, gespecialiseerd in complexe datarecovery, bleek dat de back-upgegevens definitief onbruikbaar waren gemaakt”, meldt Geert Baudewijns, CEO van Secutec. De heer Baudewijns werd ingeschakeld als onderhandelaar en geldt in België als dé expert op dat gebied. Hij heeft samen met zijn team reeds meer dan 150 hackings voor zijn rekening genomen én tot een goed einde gebracht.
Op vraag van ITxx en parallel met het back-uponderzoek startte Secutec ook nu de onderhandelingen met Conti. “Eenmaal bleek dat we de back-ups niet meer aan de praat zouden krijgen, heeft Itxx na de vijf dagen durende onderhandelingen beslist om de encryptiesleutels te kopen, voor uiteindelijk een vijfde van het initieel gevraagde losgeld”, geeft Geert Baudewijns aan. “Meteen hebben we de volledige omgeving vernieuwd en alle servers opnieuw van nul opgebouwd. ITxx werkt nu met een moderne en veilige omgeving. Het nam ook meteen een abonnement op Secure DNS, onze beveiligingstool die artificiële intelligentie inzet om malicieuze webadressen te filteren en te blokkeren.”
Groeiende trend
Conti is de tweede grootste hackersgroep ter wereld, na REvil. Ook REvil kwam deze week in het nieuws met de cyberaanval op de logistieke software Kaseya. Beide hackersgroepen maken gebruik van botnetservers die naar Rusland leiden. Eerder dit jaar werden ook de Ierse gezondheidszorg en liefst 16 Amerikaanse zorgorganisaties het slachtoffer van Conti. De vrij nieuwe ransomware maakt gebruik van een nieuwe techniek die eerst gegevens ontvreemdt om ze vervolgens te versleutelen. De hack bij ITxx is de eerste grootschalige aanval van Conti in België waarbij een serviceprovider getarget werd.
De hack toont aan dat elke organisatie het slachtoffer kan worden van een cyberaanval. Secutec onderstreept dan ook het belang van een sluitende beveiliging en van een strak beleid met bewustzijnstrainingen, back-ups en regelmatige softwareupdates.
Gerelateerde artikels:
ATV: Antwerpse ICT-dienstverlener betaalt 250.000 euro aan hackersgroep – ATV
ITxx: https://www.itxx.be/
Gazet van Antwerpen: https://www.gva.be/cnt/dmf20210711_97651962
VRT: https://www.vrt.be/vrtnws/nl/2021/07/11/itxx-hacking/
Nieuwsblad: https://m.nieuwsblad.be/cnt/dmf20210710_95352319
Het Laatste Nieuws: https://www.hln.be/nieuws/antwerps-bedrijf-betaalt-252-000-euro-losgeld-aan-hackers-om-cyberaanval-te-stoppen-er-was-geen-alternatief~af25b03f/