Ransomware reden voor clouduitval Wolters Kluwer

De uitval van online-applicaties zoals boekhoud-SaaS CCH was niet direct door de ransomware veroorzaakt, maar door Wolters Kluwer zichzelf en zijn klanten 'aangedaan'. De SaaS-aanbieder wilde zo voorkomen dat de infectie zich zou verspreiden. Eventuele gijzeling van financiële data van klanten zou die bedrijven nog veel harder raken dan het offline gaan van hun cloud-gehoste boekhoudsystemen.

'Zero-day'?

Wolters Kluwer verstrekt vooralsnog geen details over de ransomware en hoe die is binnengeraakt. Eerdere vragen van AG Connect hierover zijn nog niet beantwoord. In een update van gistermiddag verwijst de woordvoerster naar een vers afgegeven verklaring, gepubliceerd op de eigen website. Daarin spreekt het getroffen bedrijf van een nieuwe, voorheen onbekende malware-variant, die "is ontworpen om te infiltreren, bestanden te versleutelen en bedrijven te verstoren".

Opvallend is dat Wolters Kluwer hierbij spreekt van een "zero-day" strain om de nieuwe malware te omschrijven. Onduidelijk is of het daarmee doelt op het feit dat deze variant nog niet bekend was, of dat de ransomware gebruikt heeft gemaakt van een voorheen onbekende kwetsbaarheid. Laatstgenoemde is de reguliere definitie van de term 'zero-day'. AG Connect heeft vragen hierover uitgezet bij Wolters Kluwer.

Uit voorzorg offline

In de update van gistermiddag over de infectie, die op maandag 6 mei is ontdekt, laat de SaaS-aanbieder nog weten dat de signature van deze nieuwe malware toen nog onbekend was. "En er was nog geen bestaande antivirusoplossing beschikbaar op de aanwezigheid van de kwaadaardige code te detecteren."

In reactie op de ontdekte infectie van de eigen IT-infrastructuur heeft Wolters Kluwer toen besloten om zowel interne applicaties en platformen als ook die voor klanten offline te halen. Communicatie naar klanten hierover is daardoor echter ook gemankeerd, zodat gebruikers van de boekhoudcloud in het duister zaten over de uitval. Nadat de malware door dit paardenmiddel is ingeperkt, heeft het bedrijf "beschermende maatregelen versterkt". Eerdere vragen van AG Connect over de aard van die maatregelen zijn tot op heden niet beantwoord.

Stuk-voor-stuk

"Onze enterprise anti-virus leveranciers hebben ons voorzien van ge-update detectiebestanden", aldus de bijgewerkte officiële verklaring. In de loop van meerdere dagen zijn de zelf offline gehaalde systemen en applicaties geleidelijk aan weer online gebracht. "Dit proces omvatte systeem-voor-systeem en applicatie-voor-applicatie assessment, scanning, testing en quality assurance protocollen die zijn ontworpen om bescherming te bieden zodat we herstel van services op een veilige en beveiligde manier doen." Vragen over aantallen getroffen applicaties en systemen, plus over het hersteltempo, wachten nog op antwoord.

Het security-incident is door Wolters Kluwer ook gemeld bij de politie (law enforcement). Formeel gezien moet deze infectie ook gemeld worden bij de Autoriteit Persoonsgegevens, die eerder heeft bepaald dat een ransomware-infectie beschouwd kan worden als een datalek. Dit ook als er geen teken is dat data daadwerkelijk naar buiten is gekomen, want door de ransomware is er wel toegang tot interne data. Wolters Kluwer herhaalt in zijn verklaring van gistermiddag dat het tot nog toe geen bewijs heeft gevonden dat data of systemen van klanten zijn gecompromitteerd.