Een Canadees bedrijf heeft dit weekend 425.000 dollar betaald om weer toegang tot bestanden te krijgen nadat die door ransomware waren versleuteld. De aanvallers hadden niet alleen de productiedatabases versleuteld, maar ook de back-ups. "Ze hadden geen andere keuze dan te betalen", zegt Daniel Tobok van securitybedrijf Cytelligence, dat het bedrijf helpt met het onderzoek, tegenover IT World Canada.
Om toegang tot systemen te krijgen verstuurden de aanvallers e-mails naar zes hooggeplaatste medewerkers. Twee van de e-mails leken van een transportbedrijf afkomstig en deden zich voor als facturen voor opgehaalde pakketjes. De andere e-mails vroegen om het meegestuurde document te printen. De bijlage was een pdf-document met een "kwaadaardige lading". Verdere technische details worden niet gegeven.
"Uit voorlopig onderzoek blijkt dat er kwetsbaarheden in ongepatchte systemen in hun Windowsomgeving waren", aldus Tobok. "Ze hadden een aantal verouderde databaseservers die niet up-to-date waren." Volgens Tobok hadden de aanvallers uitgebreide kennis van het netwerk. "Ze wisten waar de databases en vertrouwelijke informatie zich bevonden. Ze wisten alles." Voordat er werd betaald eiste het bedrijf dat de aanvallers bewezen dat ze over de decryptiesleutel beschikten.
Om wat voor ransomware het gaat is niet vermeld. Een bekend ransomware-exemplaar dat hoge bedragen eist, back-ups verwijdert en veel systemen in een netwerk infecteert is de SamSam-ransomware, ook bekend als Samas. De aanvallers achter deze ransomware hacken systemen. Vervolgens wordt SamSam op het netwerk geïnstalleerd en back-ups verwijderd. Begin april raakte een Amerikaans ziekenhuis door SamSam besmet en besloot de gevraagde 24 bitcoin (op dat moment 48.000 euro) niet te betalen. Het ziekenhuis was zes weken ontregeld. Een Britse cloudprovider ging vorig jaar wel tot betaling over.
Deze posting is gelocked. Reageren is niet meer mogelijk.