Travelex, 's werelds grootste valutawissel, werd gehackt
Travelex werd meer dan veertig jaar geleden opgericht. Met meer dan 9 duizend werknemers en duizenden locaties over de hele wereld, wordt het algemeen beschouwd als het grootste deviezenbedrijf ter wereld. Je denkt misschien dat zo'n grote organisatie even goed is als immuun voor cyberaanvallen en dat het snel zou herstellen als het er een zou lijden. Je moet opnieuw nadenken.
Travelex lijdt aan een destructieve ransomware-aanval
Op 31 december kwam Travelex erachter dat zijn systemen waren geïnfecteerd met een ransomware-stam genaamd Sodinokibi (ook bekend als REvil), en om te voorkomen dat het zich verder verspreidde, heeft het bedrijf zijn volledige IT-infrastructuur offline gehaald. Online bestellingen werden in de wacht gezet en werknemers die op de fysieke locaties van de valutawissel werkten, moesten teruggaan naar het gebruik van pennen en stukjes papier. De nauwe relaties van Travelex met enkele van de toonaangevende banken van het VK betekenden dat financiële instellingen klanten begonnen af te wijzen die vreemde valuta wilden gebruiken. Zelfs sommige supermarktketens werden getroffen.
Niemand wist echt wat er eerst was gebeurd, maar uiteindelijk, op 7 januari, kondigde Travelex eindelijk aan dat het was getroffen door cybercriminelen. Het is niet verwonderlijk dat er nogal wat vragen werden afgevuurd en dat woordvoerders voor de kreupele uitwisseling hun werk moesten doen om iedereen ervan te overtuigen dat alles "zo snel mogelijk" weer normaal zou zijn. Op dit moment echter, meer dan twee weken nadat de ransomware-stam was ingezet, is Travelex nog maar net begonnen met het opstarten van enkele van zijn systemen.
Er is niet veel details over hoe de aanval daadwerkelijk werd uitgevoerd, maar het is vrij duidelijk dat de mensen die Travelex besmetten, wisten wat ze aan het doen waren. En het feit dat zo'n grote, krachtige organisatie zo lang nodig heeft om te herstellen, laat duidelijk zien hoe destructieve moderne ransomware-aanvallen kunnen zijn. Het hele verhaal kan ook als bewijs dienen dat grote bedrijven niet erg goed voorbereid lijken op de online bedreigingen die de macht hebben om hun hele bedrijf op de knieën te krijgen.
Nogal wat vragen blijven onbeantwoord
Zoals we al zeiden, zijn er vrijwel geen details over hoe de hackers de systemen van Travelex infiltreerden, wat ze deden en hoe de valutawissel reageerde. Eerlijk gezegd is het onderzoek nog steeds aan de gang, en Travelex kan goede redenen hebben om de informatie achter te houden, maar zelfs met dat in overweging genomen, laat de reactie na het incident nog steeds heel wat mensen teleurgesteld.
Er zijn geen aanwijzingen waarom het Travelex een volledige week kostte om toe te geven dat de gegevens zijn gecodeerd door ransomware. Het bedrijf wil ook niet graag delen hoeveel van zijn infrastructuur is aangetast.
In het persbericht van 7 januari wordt bijvoorbeeld expliciet vermeld dat "gestructureerde persoonlijke klantgegevens" niet zijn gecodeerd door de ransomware, maar er staat niets over dat het wordt gestolen. Tegelijkertijd vertelden mensen die beweren verantwoordelijk te zijn voor de aanval aan de BBC dat ze meer dan 5 GB aan persoonlijke klantinformatie hebben, die ze van plan zijn te verkopen als Travelex het losgeld van £ 4,6 miljoen (ongeveer $ 6 miljoen) niet betaalt. Een week na het rapport van de BBC blijven de opmerkingen van Travelex over de bedreigingen van de hackers dubbelzinnig.
In zijn recente opmerkingen over de moeilijkheden die hij tegenkwam toen hij probeerde een datalek te melden op een Nigeriaans gokplatform, herhaalde cyberveiligheidsexpert Troy Hunt nogmaals dat mensen niet te hard moeten zijn tegen bedrijven die aan cyberaanvallen lijden. Ze moeten echter zeer kritisch zijn tegenover organisaties die het probleem niet zo transparant en zo verantwoord mogelijk aanpakken. Het lijkt erop dat degenen die voor grote organisaties zoals Travelex werken, hun hoofd nog niet volledig hebben omwikkeld.
