Het Deense ISS, één van de grootste facilitaire dienstverleners ter wereld met meer dan 500.000 medewerkers, is getroffen door ransomware. De infectie deed zich afgelopen maandag voor en werd gisteren bekendgemaakt. Na ontdekking van de ransomware werden alle gedeelde it-diensten bij locaties en landen uitgeschakeld. ISS is in zo'n 65 landen actief.
"De oorzaak is vastgesteld en we werken met forensisch experts, onze hostingprovider en een speciale externe taskforce om geleidelijk onze it-systemen te herstellen. Bepaalde systemen zijn inmiddels hersteld. Er zijn geen aanwijzingen dat er klantgegevens zijn buitgemaakt", aldus een verklaring van ISS op de eigen website. Wanneer alle it-systemen volledig zullen zijn hersteld en wat de mogelijke financiële impact van de aanval is wordt nog onderzocht.
De BBC meldt dat de normale website van ISS sinds 17 februari offline is en 43.000 Britse medewerkers nog altijd zonder e-mail zitten. Hoe de aanvallers wisten binnen te komen is onbekend. Volgens securitybedrijf Bad Packets was een Citrix-server van ISS op 11 januari nog altijd kwetsbaar voor een ernstig beveiligingslek in de software, ook al was er een tijdelijke oplossing van Citrix beschikbaar. "Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten.
De Britse beveiligingsonderzoeker Kevin Beaumont vermoedt dat ISS met de REvil-ransomware besmet is geraakt, ook bekend als Sodinokibi. De criminelen achter deze ransomware hebben het Citrix-lek eerder gebruikt om ransomware te verspreiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.