Travel Management Company CWT betaalt $ 4,5 miljoen om de bestanden te ontgrendelen

Er zijn talloze onderzoeken die een breed spectrum aan verschillende methoden gebruiken om de kosten van een ransomware-aanval voor het slachtoffer te berekenen. Deze onderzoeksartikelen houden rekening met een groot aantal factoren, maar het beeld kan nooit echt zo duidelijk zijn als wanneer je de aanval uit de eerste hand ziet. Jack Stubbs van Reuters kwam vorige week hier zo dicht mogelijk bij. Hij kreeg screenshots in handen die de communicatie laten zien tussen ransomware-operators en medewerkers van een reismanagementbedrijf genaamd CWT, en hij kan ons nu vertellen dat deze aanval, in puur monetaire termen, tenminste 4,5 miljoen dollar heeft gekost.

Ragnar Locker raakt CWT zwaar

Verrassend of niet, CWT praat niet graag over het incident. In een verklaring aan Reuters zei het bedrijf dat alles weer normaal was na een tijdelijke stopzetting van al zijn systemen. Het onderzoek bevond zich nog in de beginfase toen het bedrijf vorige week met Reuters sprak, maar blijkbaar was er destijds geen bewijs dat klantinformatie werd onthuld. Het rapport van Jack Stubbs suggereert echter dat het incident veel ernstiger was.

Volgens haar werd het reisbeheerbedrijf getroffen door de Ragnar Locker-ransomware. Zoals altijd, na het versleutelen van tonnen waardevolle informatie, liet de ransomware een briefje achter, met daarin een manier om contact op te nemen met de cybercriminelen die verantwoordelijk waren voor de aanval. De communicatie gebeurde via een instant messaging-platform en de screenshots laten zien dat CWT-vertegenwoordigers aanvankelijk niet helemaal zeker waren wat er was gebeurd. De oplichters vertelden hen dat ze de bestanden hadden versleuteld op meer dan 30 duizend apparaten die op het CWT-netwerk waren aangesloten en dat ze ook kopieën van financiële overzichten, persoonlijke gegevens van werknemers en andere gevoelige documenten hadden gestolen.

Met andere woorden, CWT hoefde niet alleen zijn bestanden te ontgrendelen om de normale werking te hervatten, maar het moest zich ook zorgen maken over tonnen gevoelige gegevens die door de ransomware-operators werden gelekt.

De oplichters tonen enig begrip

Om de gegevens terug te krijgen en een lek te voorkomen, moest CWT $ 10 miljoen aan bitcoins betalen. De oplichters wezen er terecht op dat, hoewel ze om een aanzienlijk bedrag vragen, het losgeld waarschijnlijk aanzienlijk lager zal zijn dan de kosten die verband houden met de reputatieschade en de rechtszaken die zouden kunnen volgen op het vrijgeven van informatie.

CWT heeft niet officieel aangekondigd of het al dan niet een back-up van zijn gegevens maakt, maar de screenshots die Reuters plaatste, laten zien dat het bedrijf vanaf het begin vrijwel bereid was om mee te werken. De CWT-vertegenwoordiger wees er echter op dat $ 10 miljoen een grote vraag is, vooral in het midden van een pandemie die ongekende schade toebrengt aan de reisindustrie.

Het is opmerkelijk dat de ransomware-exploitanten enig begrip hebben getoond en zijn overeengekomen om een meer acceptabele prijs te bedingen. Uiteindelijk hebben ze genoegen genomen met $ 4,5 miljoen.

De gevolgen van zakendoen met de boeven

CWT heeft nog geen officiële verklaring over de aanval gepubliceerd, maar het rapport van Reuters suggereert dat de betaling is verwerkt en dat het bedrijf de decoderingssleutel heeft ontvangen. Het is duidelijk dat onderhandelen met criminelen en het betalen van losgeld altijd het laatste redmiddel moet zijn, en we zijn er vrij zeker van dat CWT alle andere opties had uitgeput voordat hij ermee instemde om de bitcoins over te dragen. Desalniettemin, het feit dat het bedrijf zo zwaar werd getroffen, toont aan dat het niet erg goed voorbereid was op een ransomware-aanval, en dit zal zeker zijn reputatie beïnvloeden. Er is ook nog een ander potentieel probleem.

Tijdens de onderhandelingen beloofden de oplichters dat zodra ze het losgeld hadden ontvangen, ze een decryptietool zouden sturen en ook de informatie die ze van CWT hadden gestolen, zouden verwijderen. Helaas is een anoniem chatgesprek geen juridisch bindend document, vooral wanneer de persoon aan de andere kant van het toetsenbord zich bezighoudt met cybercriminele activiteiten voor de kost. De oplichters hebben de decryptietool gestuurd, maar niemand kan met zekerheid zeggen of ze hun belofte hebben nagekomen en de gestolen informatie hebben verwijderd. CWT heeft geen andere keuze dan hun woord te geloven, wat, zou je kunnen zeggen, niet altijd de beste strategie is.