'Hack GWK Travelex mogelijk gevolg van Pulse Secure-lek'

GWK Travelex werd op oudjaarsdag naar eigen zeggen door een virus getroffen, waardoor systemen in de filialen van het bedrijf niet langer werken. Ook werden uit voorzorg vrijwel alle websites wereldwijd offline gehaald.

Computer Weekly meldt nu dat het bedrijf getroffen is door ransomware met de naam REvil, ook bekend als Sodinokibi. De ransomware verscheen in april vorig jaar voor het eerst en heeft al diverse slachtoffers gemaakt. In december werd bijvoorbeeld ook datacentrumprovider CyrusOne getroffen door de malware. 

Lek in VPN niet gedicht

De infectie kon volgens Computer Weekly plaatsvinden door een lek in de VPN-dienst van Pulse Secure, waar al in april een patch voor werd uitgebracht. Die VPN-dienst werd door GWK Travelex gebruikt om werknemers op afstand van toegang tot de centrale computers te voorzien. Die verbinding was vanwege het lek ook toegankelijk voor cybercriminelen, die zo in het netwerk van een bedrijf konden komen. 

Beveiligingsbedrijf Bad Packets ontdekte dat hackers het lek in de VPN-dienst probeerde te misbruiken, waarna het bedrijf op 13 september duizenden bedrijven waarschuwde dat zij nog kwetsbare VPN-diensten hadden. GWK Travelex zat hier ook bij en kreeg te horen dat het zeven niet-gepatchte VPN-servers had in Australië, Nederland, het Verenigd Koninkrijk en de VS.

Volgens een analyse van Bad Packets werd de patch van Pulse Secure echter pas in november geïnstalleerd door GWK Travelex. Chief Research officer Troy Mursch van Bad Packets zegt tegenover Computer Weekly dat de hackers mogelijk toegang hebben gekregen tot de systemen van Travelex via het lek in de VPN-dienst. 

Losgeldeis leidt naar China

De systemen van GWK Travelex zijn als gevolg van de ransomware-aanval versleuteld. De hackers hebben readme-bestanden achtergelaten op geïnfecteerde systemen waarin ze om losgeld vragen. Dat losgeld - een onbekend bedrag - moet via een website met een top-level domeinnaam uit China betaald worden in bitcoin. Of de aanvallers ook daadwerkelijk uit China komen, is onduidelijk. Ook is niet bekend of het losgeld betaald is. 

In zeker twintig landen waar GWK Travelex actief is, zijn de systemen van het bedrijf onbruikbaar. Diverse klanten weten niet wat er met het geld dat zij via het bedrijf verstuurd hebben gebeurd is. 

De websites van GWK Travelex in diverse landen, waaronder die in Nederland, zijn nog altijd niet bereikbaar. Bezoekers van de websites krijgen een bericht te zien dat er gepland onderhoud plaatsvindt.