Twee Nederlandse bedrijven zijn de afgelopen weken door dezelfde ransomware getroffen die GWK Travelex infecteerde en hebben het losgeld betaald dat de criminelen vroegen, zo laat securitybedrijf Fox-IT tegenover het Nederlands Dagblad weten. Om welke bedrijven het gaat is niet bekendgemaakt.

Daarnaast stelt het securitybedrijf dat er waarschijnlijk veel meer slachtoffers in Nederland zijn gemaakt. De ransomware in kwestie wordt REvil genoemd, maar staat ook bekend als Sodinokibi. Hoe de organisaties konden worden geïnfecteerd wordt niet gemeld. Eerdere infecties door Sodinokibi vonden plaats via bekende kwetsbaarheden in Oracle WebLogic-servers en de vpn-software Pulse Secure. Zodra er één machine is besmet proberen de aanvallers eerst de rest van het netwerk te verkennen, waarbij ze ook beschikbare back-ups en back-updiensten verwijderen of uitschakelen, voordat alle machines met ransomware worden besmet.

De groep achter deze ransomware heeft ook meerdere keren ingebroken bij it-dienstverleners, om vervolgens de klanten van deze bedrijven te infecteren. Gisteren werd bekend dat een luchthaven in New York via de eigen it-dienstverlener door de Sodinokibi-ransomware besmet was geraakt en het gevraagde losgeld betaalde om weer toegang tot bestanden te krijgen.