Internationaal technisch dienstverlener Spie Group is getroffen door een ransomware-aanval en datadiefstal, zo heeft het bedrijf via de eigen website bekendgemaakt. De aanval met de Nefilim-ransomware vond plaats in de nacht van 13 op 14 juli. Veertien juli is een nationale feestdag in Frankrijk.

De aanvallers wisten daarbij data van verschillende systemen te versleutelen. Voordat de ransomware werd uitgerold maakten de aanvallers gegevens van een "beperkt aantal klanten" buit, aldus het bedrijf. Wanneer Spie het gevraagde losgeld niet betaalt dreigen de aanvallers deze data openbaar te maken, waarbij meer dan 11 gigabyte aan data inmiddels is gepubliceerd, zo meldt securitybedrijf Cyble.

In de verklaring over de aanval stelt Spie dat de getroffen systemen snel konden worden hersteld en dat de aanval een zeer beperkte impact op het bedrijf had. Vanwege de gestolen data heeft Spie meerdere instanties gewaarschuwd, waaronder verschillende privacytoezichthouders. Ook de getroffen klanten zijn ingelicht. Daarnaast is er aangifte bij de politie gedaan.

Hoe het bedrijf met de ransomware besmet kon raken wordt niet vermeld. Verschillende securitybedrijven melden dat voor de verspreiding van Nefilim gebruik wordt gemaakt van RDP-servers. Zodra de aanvallers toegang tot een RDP-server van een organisatie hebben wordt daarvandaan de rest van het netwerk aangevallen, waarna de uitrol van de ransomware plaatsvindt.

Eerder wist de bende achter de Nefilim-ransomware ook systemen van het Australische transport- en logistiekbedrijf Tol te infecteren. Eind januari werd de Belgische it-leverancier SPIE ICS, onderdeel van de Spie Group, door niet nader genoemde ransomware getroffen. Vanwege de aanval raakte de dienstverlening aan klanten verstoord. Zo waren bij diverse klanten de it-systemen niet meer bruikbaar. De Spie Group telt bijna 47.000 medewerkers en is in 36 landen actief. Het concern had vorig jaar een omzet van 6,9 miljard euro.