Tandartsen keten 'Colosseum Dental' heeft meer dan twee miljoen euro losgeld betaald aan de criminele groepering die de systemen had gegijzeld. De tandartsen organisatie, die meer dan 130 vestigingen in Nederland, België en Luxemburg heeft, was platgelegd met LV ransomware, bevestigen betrokkenen aan de Volkskrant.
Gevoelige data Colosseum
De hackers hadden veel gevoelige data van Colosseum en aangesloten vestigingen in handen en dreigden deze openbaar te maken. Back-upservers waren niet afdoende beschikbaar waardoor Colosseum geen andere uitweg zag dan losgeld te betalen. Het bedrijf wil niet bevestigen dat er een miljoenenbedrag aan losgeld is betaald. ‘Daar doen wij geen mededelingen over op advies van onze externe adviseurs’, zegt een woordvoerder. Colosseum heeft aangifte gedaan bij de politie en melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens.
Lopende het onderzoek hiernaar wil het bedrijf geen verdere mededelingen doen. Wel zegt de woordvoerder dat het erop lijkt dat alle data weer terug zijn. ‘Onze huidige inschatting is dat we inderdaad beschikken over alle gegevens.’ Criminele groepen vragen doorgaans ongeveer 2 procent van de omzet van een bedrijf als losgeld. De door Colosseum betaalde twee miljoen euro zit daar iets onder.
Verklaring Colosseum
Over de afweging om losgeld te betalen, schreef Colosseum eerder in een verklaring op de website: ‘De zorg voor onze patiënten heeft onze allerhoogste prioriteit en was aanleiding voor Colosseum Dental om contact te leggen met de cyberaanvallers en afspraken te maken over teruggave en veiligheid van onze data. Alleen op deze manier konden wij op deze korte termijn het risico voor alle betrokkenen minimaliseren en de praktijkvoering relatief snel weer herstellen’.
Door de hack met gijzelsoftware waren 120 Nederlandse tandartsenpraktijken afgelopen week gesloten en moesten spoedbehandelingen worden doorverwezen naar andere tandartspraktijken. Bij de organisatie werken 2.500 personen die zo’n 600 duizend patiënten tandheelkundige zorg geven. De meeste praktijken die onder Colosseum vallen, zullen naar verwachting deze week weer patiënten kunnen ontvangen.
‘Wij betreuren ten zeerste dat met deze cyberaanval onze zorgplicht voor onze patiënten zo ernstig verstoord is. In onze praktijken bieden wij persoonlijk onze excuses aan bij patiënten die dezer dagen ongemak ondervinden’, stelt het bedrijf.
Cybercriminelen van LV
Volgens betrokkenen ging het om gijzelsoftware van LV, een relatief nieuw soort software die lijkt te zijn voortgekomen uit het beruchte REvil. REvil was gijzelsoftware van een Russische criminele groepering die de software verkocht als dienst aan andere hackersgroepen. Onder meer het Amerikaanse oliebedrijf Colonial Pipeline, vleesverwerker JBS en softwarebedrijf Kaseya waren grote en bekende slachtoffers van REvil. In juli 2021, na de hack bij Kaseya die over de hele wereld gevolgen had, verdween de infrastructuur van REvil plotseling. Begin 2022 pakte de Russische veiligheidsdienst FSB enkele leden van REvil op in Rusland waarna de organisatie feitelijk niet meer bestond.
Onderzoekers van het Amerikaanse cybersecuritybedrijf Secureworks stelden in 2021 dat LV ransomware dezelfde bronstructuur heeft als REvil. Het is volgens Secureworks niet bekend of LV ook als dienst aan andere groeperingen wordt aangeboden. Op het blog van LV op het darkweb, toegankelijk via een speciale internetbrowser, worden slachtoffers van LV vermeld die ‘niet aan de verplichtingen voor het beschermen van hun klantdata voldoen’.
Slachtoffer LV 2022 die niet betaalden
Slachtoffers zijn onder meer de Finse multinational Wartsila, een tandartsenorganisatie in Hongkong en een ingenieursbureau in Ierland. LV publiceert de buitgemaakte data van de bedrijven als ze niet ingaan op de losgeldeis. De groep maakt gebruik van kwetsbaarheden in de netwerken van de bedrijven om binnen te komen. ‘Zij weigerden om hun fouten te herstellen’, staat op het blog over de slachtoffers van LV.
In het Cybersecuritybeeld Nederland 2022 typeerde de nationale terrorismecoördinator NCTV gijzelsoftware onlangs als een bedreiging voor de nationale veiligheid. ‘Cybercriminelen spelen in op de afhankelijkheid van digitalisering met ransomware-aanvallen en verdienen daar grote sommen geld mee. Ze maken daarbij ook misbruik van via hacks gestolen data.’ Gijzelsoftware is nog steeds een zeer lucratieve business. Criminele groepen, voornamelijk uit Oost-Europa en Rusland, verdienen er jaarlijks honderden miljoenen euro’s aan losgeld mee.
Hieronder staat een lijst van alle slachtoffers van de LV ransomware-groep in 2022 die weigerden het losgeld te betalen. Als het losgeld niet wordt betaald, uploaden de cybercriminelen alle gestolen gegevens. Hieronder ziet u de bedrijven die niet hebben betaald. Bedrijven die betalen zoals de tandartsen keten 'Colosseum Denta' staan dus niet op deze lijst.
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
valverdehotel.com | LV | valverdehotel.com | Portugal |
SEMIKRON | LV | www.semikron.com | Germany |
STTLK | LV | stt.fi | Finland |
BAFNAGROUP.COM | LV | bafnagroup.com | India |
Hong Kong Special Care Dentistry Association Limited | LV | hkscda.org | Hong Kong |
studioteruzzi.com | LV | studioteruzzi.com | Italy |
sppc.com.sa | LV | sppc.com.sa | Saudi Arabia |
WARTSILA.COM | LV | wartsila.com | Finland |
Oklahoma Ordnance Works Authority | LV | Unknown | USA |
ryanhanley.ie | LV | ryanhanley.ie | Ireland |
BAHRA ELECTRIC | LV | www.bahra-electric.com | Saudi Arabia |
Electric House | LV | www.electric-house.com | Saudi Arabia |
MOLTOLUCE | LV | www.moltoluce.com | Austria |
SCHIFFMANS | LV | schiffmans.com | USA |
MOTOLUCLE.COM | LV | motolucle.com | Unknown |
CAPECODRTA | LV | capecodrta.org | USA |
SilTerra | LV | www.silterra.com | Malaysia |
CICIS.COM | LV | cicis.com | USA |
XYTECH | LV | www.xytechsystems.com | USA |
AMETHYST | LV | amethyst-radiotherapy.com | Netherlands |
CPQD - BANCO CENTRAL OF BRASIL BLOCKHAIN | LV | www.cpqd.com.br | Brazil |
MOTIVE-ENERGY | LV | www.motiveenergy.com | USA |
Importador Ferretero Trujillo Cia. Ltda | LV | importadortrujillo.com.ec | Ecuador |
OPS omniplussystem.com | LV | omniplussystem.com | Singapore |
gruporoveri.com.br | LV | gruporoveri.com.br | Brazil |
www.tikg.co.jp | LV | www.tikg.co.jp | Japan |
ufa.com.lb | LV | ufa.com.lb | Lebanon |
lhotellerie-restauration.fr | LV | lhotellerie-restauration.fr | France |
Union County Utilities Authority | LV | www.unioncountyutilitiesauthority.org | USA |
Bron: anoniem, secureworks.com, volkskrant.nl
"Bad guys sponsoren" Stelling: Ransomware moet uitgesloten worden van verzekeringsdekking
Nederlandse bedrijven sluiten wereldwijd de hoogste verzekeringen af tegen schade door ransomware-aanvallen. Gemiddeld zijn ze voor 5,77 miljoen euro gedekt voor gijzelsoftware. Dat is een hoger bedrag dan in de VS en Japan. Critici willen een verbod op de verzekeringen omdat ze naast de gevolgschade ook losgeld dekken. Daardoor houden ze het verdienmodel van cybercriminelen in stand, luidt de kritiek.
Verdwijning ransomware cybercriminelen 'REvil' een mysterie
De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het darkweb, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht.
Mandemakers groep: ‘ondanks adequate beveiliging’ toch slachtoffer
Keuken- en meubelverkoper De Mandemakers Groep (DMG) is het slachtoffer geworden van hackers. Zij slaagden erin om een groot deel van de IT-systemen te blokkeren. DMG heeft aangifte gedaan bij de politie en melding van het voorval gemaakt bij de Autoriteit Persoonsgegevens. Cybersecuritybedrijf Fox-IT helpt het bedrijf bij de afwikkeling van de aanval en het versterken van de beveiligingsmaatregelen.
Betaal je aan ransomware criminelen, dan komen ze bijna altijd terug
Ransomware-aanvallen blijven de krantenkoppen halen, en met goede reden: gemiddeld is er elke 11 seconden een nieuwe ransomware-aanval, en de verliezen voor organisaties door ransomware-aanvallen zullen naar verwachting oplopen tot $ 20 miljard in de loop van 2021, na een recordtoename van verliezen van meer dan 225% in 2020. Maar wat zijn de werkelijke kosten voor bedrijven die zijn getroffen door een ransomware-aanval?
11 miljoen, betalen aan cybercriminelen lijkt de norm!?
De Amerikaanse tak van vleesverwerker JBS bevestigt dat het 11 miljoen dollar heeft betaald aan hackers. Op deze manier wilde de grootste vleesproducent ter wereld het risico voor klanten verkleinen. Op het moment dat het bedrijf het losgeld aan de aanvallers betaalde, was het grootste deel van het productieproces al weer operationeel.
Cybercrime kartels flink in opmars
Een ransomware kartel wordt vaak gevormd om het bereik en de inkomsten te vergroten. De winst die wordt gemaakt met losgeld operaties wordt vaak gebruikt om zowel tactieken als malware te bevorderen om hun succes te vergroten.