Tandartsen keten 'Colosseum Dental' heeft meer dan twee miljoen euro losgeld betaald aan de criminele groepering die de systemen had gegijzeld. De tandartsen organisatie, die meer dan 130 vestigingen in Nederland, België en Luxemburg heeft, was platgelegd met LV ransomware, bevestigen betrokkenen aan de Volkskrant.
Gevoelige data Colosseum
De hackers hadden veel gevoelige data van Colosseum en aangesloten vestigingen in handen en dreigden deze openbaar te maken. Back-upservers waren niet afdoende beschikbaar waardoor Colosseum geen andere uitweg zag dan losgeld te betalen. Het bedrijf wil niet bevestigen dat er een miljoenenbedrag aan losgeld is betaald. ‘Daar doen wij geen mededelingen over op advies van onze externe adviseurs’, zegt een woordvoerder. Colosseum heeft aangifte gedaan bij de politie en melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens.
Lopende het onderzoek hiernaar wil het bedrijf geen verdere mededelingen doen. Wel zegt de woordvoerder dat het erop lijkt dat alle data weer terug zijn. ‘Onze huidige inschatting is dat we inderdaad beschikken over alle gegevens.’ Criminele groepen vragen doorgaans ongeveer 2 procent van de omzet van een bedrijf als losgeld. De door Colosseum betaalde twee miljoen euro zit daar iets onder.
Verklaring Colosseum
Over de afweging om losgeld te betalen, schreef Colosseum eerder in een verklaring op de website: ‘De zorg voor onze patiënten heeft onze allerhoogste prioriteit en was aanleiding voor Colosseum Dental om contact te leggen met de cyberaanvallers en afspraken te maken over teruggave en veiligheid van onze data. Alleen op deze manier konden wij op deze korte termijn het risico voor alle betrokkenen minimaliseren en de praktijkvoering relatief snel weer herstellen’.
Door de hack met gijzelsoftware waren 120 Nederlandse tandartsenpraktijken afgelopen week gesloten en moesten spoedbehandelingen worden doorverwezen naar andere tandartspraktijken. Bij de organisatie werken 2.500 personen die zo’n 600 duizend patiënten tandheelkundige zorg geven. De meeste praktijken die onder Colosseum vallen, zullen naar verwachting deze week weer patiënten kunnen ontvangen.
‘Wij betreuren ten zeerste dat met deze cyberaanval onze zorgplicht voor onze patiënten zo ernstig verstoord is. In onze praktijken bieden wij persoonlijk onze excuses aan bij patiënten die dezer dagen ongemak ondervinden’, stelt het bedrijf.
Cybercriminelen van LV
Volgens betrokkenen ging het om gijzelsoftware van LV, een relatief nieuw soort software die lijkt te zijn voortgekomen uit het beruchte REvil. REvil was gijzelsoftware van een Russische criminele groepering die de software verkocht als dienst aan andere hackersgroepen. Onder meer het Amerikaanse oliebedrijf Colonial Pipeline, vleesverwerker JBS en softwarebedrijf Kaseya waren grote en bekende slachtoffers van REvil. In juli 2021, na de hack bij Kaseya die over de hele wereld gevolgen had, verdween de infrastructuur van REvil plotseling. Begin 2022 pakte de Russische veiligheidsdienst FSB enkele leden van REvil op in Rusland waarna de organisatie feitelijk niet meer bestond.
Onderzoekers van het Amerikaanse cybersecuritybedrijf Secureworks stelden in 2021 dat LV ransomware dezelfde bronstructuur heeft als REvil. Het is volgens Secureworks niet bekend of LV ook als dienst aan andere groeperingen wordt aangeboden. Op het blog van LV op het darkweb, toegankelijk via een speciale internetbrowser, worden slachtoffers van LV vermeld die ‘niet aan de verplichtingen voor het beschermen van hun klantdata voldoen’.
Slachtoffer LV 2022 die niet betaalden
Slachtoffers zijn onder meer de Finse multinational Wartsila, een tandartsenorganisatie in Hongkong en een ingenieursbureau in Ierland. LV publiceert de buitgemaakte data van de bedrijven als ze niet ingaan op de losgeldeis. De groep maakt gebruik van kwetsbaarheden in de netwerken van de bedrijven om binnen te komen. ‘Zij weigerden om hun fouten te herstellen’, staat op het blog over de slachtoffers van LV.
In het Cybersecuritybeeld Nederland 2022 typeerde de nationale terrorismecoördinator NCTV gijzelsoftware onlangs als een bedreiging voor de nationale veiligheid. ‘Cybercriminelen spelen in op de afhankelijkheid van digitalisering met ransomware-aanvallen en verdienen daar grote sommen geld mee. Ze maken daarbij ook misbruik van via hacks gestolen data.’ Gijzelsoftware is nog steeds een zeer lucratieve business. Criminele groepen, voornamelijk uit Oost-Europa en Rusland, verdienen er jaarlijks honderden miljoenen euro’s aan losgeld mee.
Hieronder staat een lijst van alle slachtoffers van de LV ransomware-groep in 2022 die weigerden het losgeld te betalen. Als het losgeld niet wordt betaald, uploaden de cybercriminelen alle gestolen gegevens. Hieronder ziet u de bedrijven die niet hebben betaald. Bedrijven die betalen zoals de tandartsen keten 'Colosseum Denta' staan dus niet op deze lijst.
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
valverdehotel.com | LV | valverdehotel.com | Portugal |
SEMIKRON | LV | www.semikron.com | Germany |
STTLK | LV | stt.fi | Finland |
BAFNAGROUP.COM | LV | bafnagroup.com | India |
Hong Kong Special Care Dentistry Association Limited | LV | hkscda.org | Hong Kong |
studioteruzzi.com | LV | studioteruzzi.com | Italy |
sppc.com.sa | LV | sppc.com.sa | Saudi Arabia |
WARTSILA.COM | LV | wartsila.com | Finland |
Oklahoma Ordnance Works Authority | LV | Unknown | USA |
ryanhanley.ie | LV | ryanhanley.ie | Ireland |
BAHRA ELECTRIC | LV | www.bahra-electric.com | Saudi Arabia |
Electric House | LV | www.electric-house.com | Saudi Arabia |
MOLTOLUCE | LV | www.moltoluce.com | Austria |
SCHIFFMANS | LV | schiffmans.com | USA |
MOTOLUCLE.COM | LV | motolucle.com | Unknown |
CAPECODRTA | LV | capecodrta.org | USA |
SilTerra | LV | www.silterra.com | Malaysia |
CICIS.COM | LV | cicis.com | USA |
XYTECH | LV | www.xytechsystems.com | USA |
AMETHYST | LV | amethyst-radiotherapy.com | Netherlands |
CPQD - BANCO CENTRAL OF BRASIL BLOCKHAIN | LV | www.cpqd.com.br | Brazil |
MOTIVE-ENERGY | LV | www.motiveenergy.com | USA |
Importador Ferretero Trujillo Cia. Ltda | LV | importadortrujillo.com.ec | Ecuador |
OPS omniplussystem.com | LV | omniplussystem.com | Singapore |
gruporoveri.com.br | LV | gruporoveri.com.br | Brazil |
www.tikg.co.jp | LV | www.tikg.co.jp | Japan |
ufa.com.lb | LV | ufa.com.lb | Lebanon |
lhotellerie-restauration.fr | LV | lhotellerie-restauration.fr | France |
Union County Utilities Authority | LV | www.unioncountyutilitiesauthority.org | USA |
Bron: anoniem, secureworks.com, volkskrant.nl
Logistiek bedrijf in Brabant betaalt losgeld na infectie door ransomware
De Brabantse logistiek dienstverlener 'Van der Helm Logistics' heeft cybercriminelen losgeld betaald nadat bestanden door de Lockbit-ransomware waren versleuteld. De realtimeback-ups waren ook door de ransomware versleuteld en de tapestreamer voor de tapeback-ups was kapot gegaan. Dat laat het bedrijf tegenover De Volkskrant weten.
Minister: "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd"
Minister van Justitie en Veiligheid Ferd Grapperhaus vraagt verzekeraars om het losgeld dat cybercriminelen eisen bij ransomware niet langer te vergoeden. De minister is van mening dat de geleden schade als gevolg van het niet-betalen van het losgeld het uitgangspunt moet zijn van verzekeraars. Door het gevraagde losgeld te vergoeden, werken ze cybercriminaliteit in de hand.
2,3 miljoen dollar aan cybercriminelen betaald
Wisselkantoor Travelex betaalde 2,3 miljoen dollar aan cybercriminelen na een ransomware-aanval. De systemen van Travelex werden begin januari versleuteld door ransomware. Travelex heeft cyberecriminelen betaald om verloren data terug te krijgen blijkt uit bronnen van The Wall Street Journal.
Organisaties lopen flink risico om geraakt te worden door ransomware
Organisaties lopen flink risico om geraakt te worden door ransomware én de impact kan dan groot zijn. Dit geven IT’ers aan in het 2020-securityonderzoek van AG Connect ‘Reageren op ransomware’, wat is uitgevoerd vlak voordat de coronacrisis uitbrak in Nederland.
Grootste energiebedrijf van Portugal getroffen door ransomware
'Energias de Portugal (EDP)', het grootste energiebedrijf van Portugal, is op tweede paasdag getroffen door ransomware. De aanvallers claimen dat ze tien terabyte aan data van de servers van EDP hebben gestolen en dreigen die openbaar te maken tenzij het bedrijf 10 miljoen euro losgeld betaalt, zo melden beveiligingsonderzoekers Vitali Kremez en 'MalwareHunterTeam' op Twitter.
"Sterke toename van het aantal aanvallen met ransomware op ziekenhuizen" zegt Interpol
Er is een sterke toename van het aantal aanvallen met ransomware op ziekenhuizen en medische instellingen, zo stelt Interpol, dat zowel ziekenhuizen als politiediensten in 194 landen voor de verhoogde dreiging heeft gewaarschuwd.