Managed IT was slachtoffer van ransomware-aanval

Een man met een smartphone in zijn hand is het slachtoffer van een ransomware-aanval

Managed IT, een leverancier uit Nieuwegein dat ICT-diensten levert aan notariskantoren in Nederland, is getroffen door een ransomware-aanval. Het beveiligingsbedrijf dat de zaak afhandelt heeft de sleutel om de controle over het computersysteem weer terug te krijgen. Het is onduidelijk of er losgeld is betaald voor de decryptor.

Dat zegt Managed IT tegenover Tweakers.net.

Bijna honderd notariskantoren onbereikbaar

Vorige week vrijdagochtend merkte het bedrijf dat er iets niet in de haak was met de systemen. Uit voorzorg besloten de dienstverlener en een aantal notariële softwareleveranciers hun servers en database af te sluiten. Hierdoor konden 96 notariskantoren niet werken: ze konden geen akten passeren, onderzoek verrichten en beschikten niet over de contactgegevens van hun klanten. Andersom konden klanten ook geen contact met hun notaris opnemen, bijvoorbeeld om een afspraak te maken om de koopovereenkomst van een huis te tekenen of testament op te stellen.

Wat er precies aan de hand was, kon Managed IT begin deze week nog niet zeggen. Diverse media namen contact op met het bedrijf om antwoord te krijgen op deze vraag. Zij werden echter doorverwezen naar CSIRT DSP, het Cyber Security Incident Response Team voor Digitale Service Providers. Die instantie vertelde op zijn beurt door te zeggen dat het niet reageert op lopende zaken.

Managed IT heeft weer volledige toegang tot het systeem

Inmiddels zijn we een paar dagen verder en is er meer duidelijkheid over de oorzaak van de problemen. De algemeen directeur en security officer bevestigen tegenover Tweakers.net dat er op vrijdag 16 april een ransomware-aanval heeft plaatsgevonden. Of zoals zij het omschrijven ‘een aanval op de IT-systemen waarbij een belangrijk deel van de infrastructuur versleuteld is geraakt’.

Toen dat eenmaal vaststond, nam Managed IT contact op met Northwave Security. Het beveiligingsbedrijf slaagde erin om de sleutel te bemachtigen, waarmee ze het slot van de versleutelde gegevens kon verwijderen. Daarna had de IT-leverancier weer volledige toegang tot het systeem. Het is onduidelijk of Northwave Security betaald heeft voor de decryptor.

Geen bedrijfsdata of klantgegevens gestolen

De Koninklijke Notariële Beroepsorganisatie (KNB) laat via een persverklaring weten dat er geen bedrijfsdata of klantgegevens van notariskantoren zijn gestolen. Naar eigen zeggen was de aanval gericht op Managed IT en niet haar klanten. Een woordvoerder van de KNB vertelt tegenover Tweakers.net dat hij blij is dat er geen data is buitgemaakt. “Dat is goed nieuws. Het scheelt enorm dat er geen gegevens verdwenen zijn. We hopen dat deze hack als een waarschuwing dient voor notarissen en leveranciers. Kijk bij jezelf binnen of de beveiliging op orde is.”

Verder schrijft KNB dat Northwave Security de systemen van Managed IT heeft opgeschoond en gecontroleerd op ‘eventueel achtergebleven kwetsbaarheden’. Daarnaast heeft het bedrijf aanvullende veiligheidsmaatregelen getroffen, om herhaling in de toekomst te voorkomen. Zo is er multifactorauthenticatie ingevoerd en vindt er voortdurend monitoring van netwerkactiviteiten plaats. Tot slot worden de back-upmaatregelen verder uitgebreid.

Dinsdag begon Managed IT met het weer online brengen van de notariskantoren. Naar verwachting kunnen vanaf vandaag de meeste kantoren weer werken. Het bedrijf heeft aangifte gedaan bij de politie.

Update: Pim Takkenberg, general manager bij Northwave Security, vertelt tegenover Tweakers.net dat een onbekende hackersgroep toegang wist te verschaffen tot het netwerk van Managed IT. Vervolgens hebben de daders Bitlocker aangezet en het volledige systeem versleuteld. Deze tactiek is minder gebruikelijk, maar komt zo nu en dan voor. Omdat Bitlocker een legitiem product is, is er technisch gesproken dan ook geen sprake van een ransomware-aanval.

Verder laat Takkenberg weten dat zijn organisatie namens zijn cliënt heeft onderhandeld met de aanvallers. Omdat er ‘geen realistisch alternatief’ was om het computersysteem te ontgrendelen, is er besloten om losgeld te betalen. Hoe hoog het losgeldbedrag was wil hij niet zeggen.

Net als de KNB bevestigt Takkenberg dat er geen aanwijzingen zijn dat de hackers data hebben gestolen. “In gesprekken met de aanvaller hebben zij niet gedreigd met het stelen, achterhouden of verspreiden van data en we hebben geen rare pieken gezien in het dataverkeer die duiden op het stelen van data.” Volgens de algemeen directeur van Northwave Security wilden de daders ‘gewoon snel geld cashen’.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen