Travelex

Wisselkantoor Travelex slachtoffer van ransomware-aanval

Laatst bijgewerkt: 23 juni 2020
Leestijd: 3 minuten, 22 seconden

De Londense politie heeft bevestigd dat het wisselkantoor Travelex op oudejaarsavond is getroffen door een ransomware-aanval. Sinds begin dit jaar is de website van het wisselkantoor onbereikbaar in dertig landen. Eerder werd naar buiten gebracht dat dit zou komen door een virus.

Onderhoud

“Om data te beschermen en verspreiding van het virus tegen te gaan, hebben we meteen onze systemen offline gehaald. Er is geen indicatie dat persoonlijke informatie van klanten is buitgemaakt”, zo zegt het bedrijf op Facebook. De website geeft aan dat de site offline is vanwege ‘gepland onderhoud’. “Onze online service voor het aankopen of reserveren van vreemde valuta is tijdelijk niet beschikbaar wegens gepland onderhoud. Deze service zal spoedig weer beschikbaar zijn”, zo valt er te lezen.

Hoewel de website van het wisselkantoor niet werkt, kan er bij de fysieke kantoren gewoon geld gewisseld worden. De schade voor het bedrijf loopt iedere dag dat ze niet online zijn enorm op. De druk ligt daarom ook hoog om een oplossing te vinden.

Gevolgen voor Travelex

Travelex werkt samen met de politie en IT-specialisten aan een oplossing, zo zegt het bedrijf tegenover de BBC. Inmiddels is het bekend dat de hackers bij de hackergroep Sodinokibi, ook wel REvil genoemd, horen. Ze zouden hebben aangegeven na betaling van 6 miljoen dollar de systemen van het bedrijf weer vrij te zullen geven. Het is niet bekend of Travelex van plan is te betalen of niet.

Travelex geeft ook aan dat er geen aanleiding is om te denken dat er persoonlijke data van klanten gelekt is. Toch vertellen de hackers de BBC dat zij 5 GB aan klantgegevens gedownload hebben. Ze dreigen deze gegevens te zullen verkopen wanneer er niet op tijd betaald wordt.

Wat is ransomware

Ransomware of gijzelsoftware is een type malware dat de bestanden op een systeem kan gijzelen. Wanneer de malware een apparaat heeft weten te infecteren kan het alle bestanden versleutelen waardoor de eigenaar er niet meer bij kan. De hackers vragen de eigenaar vervolgens om geld over te maken. Ze beloven dan vaak dat ze de systemen vrij zullen geven wanneer ze het geld ontvangen hebben. Ransomware wordt, zeker voor bedrijven, een steeds groter probleem.

Tijdens de kerstvakantie werd ook de Universiteit van Maastricht getroffen door een gijzelsoftware-aanval. Inmiddels zijn in Maastricht de meeste systemen weer hersteld.

Mogelijke oorzaak is verouderde software

Het lijkt erop dat het voor de hackers mogelijk was om het systeem van Travelex te infiltreren omdat ze hun VPN software niet hadden geüpdatet. Het zou gaan om de Pulse Secure software die in april al een patch uitbracht om zwakke plekken te elimineren. De hackergroep Sodinokibi zou al meerdere malen gebruik hebben gemaakt van de zwakke plek in de verouderde software. Het is nog niet bevestigd of dit daadwerkelijk de oorzaak van de hack is geweest.

Gebruikte ransomware ook in Nederland opgedoken

Update: de ransomware die de hackers van Sodinokibi hebben gebruikt, is opgedoken bij verschillende Nederlandse bedrijven. Alleen al in de afgelopen weken zijn er twee bedrijven getroffen door deze ransomware. Beide bedrijven hebben eieren voor hun geld gekozen en het losgeld betaald voor de decryptiesleutel. Fox-IT directeur Frank Groenewegen vertelt tegenover AG Connect dat het om professionele cybercriminelen gaat. “Ze zoeken uit bij welk bedrijf ze zijn binnengedrongen. Zo kijken ze hoeveel losgeld ze kunnen eisen, of het slachtoffer de moeite waard is om verder te gaan met de aanval. Vervolgens zijn ze weken bezig om verder door te dringen in de systemen.

Volgens Groenewegen denken de cybercriminelen alleen maar aan geld. “Ze kijken naar kosten en baten. Ze maken voor zichzelf een selectie van de bedrijven waar ze binnen zitten. Ze werken liever twee weken aan een aanval waar ze 1,5 miljoen euro aan verdienen dan twee keer een week voor een ton.”

Volgens Rense Buijen, technisch directeur bij beveiligingsbedrijf Trend Micro, is het lastig om te zeggen hoeveel bedrijven daadwerkelijk het slachtoffer zijn van Sodinokibi. “Niet elke aanval slaagt. Soms hebben de aanvallers geen gegevens kunnen stelen en soms was het slachtoffer niet interessant genoeg om mee door te gaan”, zo vertelt Buijen.

Tech-journaliste
Tove is reeds sinds 2017 als cybersecurity-redacteur betrokken bij VPNgids. Sinds 2019 is zij tevens coördinator voor het cybersecurity-nieuws dat op de website verschijnt.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen