‘Er zat niets anders op dan te betalen’
Met een kwart miljoen euro losgeld werd afgelopen weekend een eind gemaakt aan een cybergijzeling die zo’n 65 bedrijven trof.
Het Antwerpse bedrijf ITxx heeft afgelopen weekend 300.000 dollar (252.000 euro) betaald om opnieuw toegang te krijgen tot zijn computerdata. Het bedrijf werd begin deze maand gegijzeld door cybercriminelen. De gegevens van 65 klanten werden door een ransomware-aanval versleuteld. De gijzelaars eisten aanvankelijk 1,5 miljoen dollar, maar namen uiteindelijk genoegen met een vijfde van dat bedrag.
Tot de klanten van ITxx behoren onder meer uitzendbureaus en boekhoudkantoren, die samen zo’n duizend mensen in dienst hebben. Ook het thuishulpbedrijf Dienstenthuis werd als klant van ITxx getroffen. Het meldde zijn klanten dat de systemen ernstig verstoord waren, al konden de poetshulpen hun werk wel normaal blijven uitvoeren.
Onderhandeling met hackers vanop vakantie Afgelopen weekend kon de gijzeling beëindigd worden na bemiddeling door het beveiligingsbedrijf Secutec. De hackersgroep Conti bleek achter de aanval te zitten. Deze groep heeft wereldwijd al tientallen cybergijzelingen op haar geweten, onder meer van het Taiwanese computerbedrijf Advantech en een rechtbank in Louisiana. ‘Het is de op een na actiefste hackersgroep, na REvil’, zegt Secutec-ceo Geert Baudewijns, die vanaf zijn vakantieadres de onderhandelingen voerde. De twee groeperingen zijn samen verantwoordelijk voor zo’n 40 procent van de ransomware-hackings. ‘Dit was de eerste gijzeling op zo’n grote schaal in België, waarbij de gegevens van 65 bedrijven onbruikbaar waren’, zegt Baudewijns. Daarom was het onmogelijk om de gijzeling geheim te houden, zoals meestal gebeurt.
Russische botnetten Gezien het verschil tussen het aanvankelijk gevraagde losgeld en de uiteindelijk betaalde som spreekt Baudewijns over een ‘relatief goed einde’, maar de som ligt wel veel hoger dan normaal betaald wordt door Belgische bedrijven. Secutec slaagt erin twee derde van de gevallen in om betaling van het losgeld te voorkomen, door de geblokkeerde data te herstellen. Maar dat was in dit geval onmogelijk, zo bleek na consultatie van een gespecialiseerd Noors bedrijf. ‘Er zat niets anders op dan te betalen.’
Wie of wat achter de Contigroep zit, is onduidelijk. De hackers gebruiken Russische botnetten, maar het is niet zeker dat de daders zelf ook Russisch zijn, zegt Baudewijns. ‘We weten via welke autoweg ze komen, maar niet welke afrit ze nemen.’ Secutec ziet het aantal ransomware-hackings snel stijgen. Vroeger moest Baudewijns zo’n twee keer per maand onderhandelen met cybergijzelaars, tegenwoordig is dat één à twee keer per week. ‘Het enige wat we kunnen adviseren, is om softwarepatches meteen te installeren, zodra ze beschikbaar zijn.’
‘Dit was de eerste gijzeling op zo’n grote schaal in België’
Geert Baudewijns
Ceo Secutec