GWK Travelex: Geen gegevens gestolen bij ransomware-aanval

GWK Travelex werd op oudjaarsdag slachtoffer van de Sodinokibi-ransomware, die ook bekendstaat als REvil. "Travelex heeft proactief stappen ondernomen om de verspreiding van de ransomware te beperken, wat succesvol is geweest", aldus het bedrijf in een persbericht op zijn website.

Als gevolg van de aanval werkten systemen in de filialen van GWK Travelex niet langer. Het bedrijf haalde uit voorzorg ook vrijwel alle websites offline. De Nederlandse website is nog altijd niet bereikbaar, maar toont nu alleen het persbericht waarin ransomware-infectie wordt bevestigd.

Wie er achter de aanval zit, is niet bekend. Wel is duidelijk dat er losgeld geëist wordt, wat in bitcoin betaald moet worden. Het zou om zo'n 3 miljoen dollar gaan, maar Travelex wil dit niet bevestigen.

Persoonlijke gegevens gestolen?

BleepingComputer liet eerder weten dat de aanvallers bestanden met persoonlijke gegevens van Travelex-klanten hebben gestolen. Het gaat onder meer om geboortedata en burgerservicenummers. Travelex zegt nu dat het hier geen aanwijzingen voor heeft. "Hoewel Travelex nog geen compleet beeld heeft van alle data die versleuteld zijn, is er geen bewijs dat data gestolen is."

Travelex zegt dat het inmiddels een aantal interne systemen heeft weten te herstellen, die nu weer normaal werken. Ook wordt er hard gewerkt aan het zo snel mogelijk hervatten van de normale dienstverlening.

In Groot-Brittannië, waar het hoofdkantoor van Travelex gevestigd is, doen de National Crime Agency (NCA) en de Metropolitan Police ook onderzoek naar deze cybercrime. Daarnaast staat Travelex naar eigen zeggen in contact met toezichthouders wereldwijd.

Lek Pulse Secure niet gedicht

Hoe de hackers precies binnen zijn gekomen, heeft Travelex niet laten weten. Computer Weekly meldde gisteren echter dat dit mogelijk te maken heeft met een niet gedicht lek in de VPN-dienst van Pulse Secure. Dat lek werd in maart ontdekt en in april verscheen een patch. Travelex zou die patch pas in november geïnstalleerd hebben, ondanks waarschuwingen van beveiligingsbedrijf Bad Packets in september.