Ransomware aanval op Finse IT-dienstverlener Tietoevry zorgt voor grote IT uitval in Zweden

In de nacht van 19 op 20 januari werd het Finse IT bedrijf Tietoevry doelwit van een ransomware-aanval op verschillende datacenters in Zweden. Het gevolg? Grootschalige IT uitval in Zweden. Healthcare, lokale en nationale overheidsdiensten, winkels en de grootste bioscoopketen van het land behoren tot de organisaties die te maken hebben met voortdurende verstoringen.

Geraffineerde encryptie

Ransomware-hackers hebben niet alleen gegevens van veel Zweedse klanten van Tietoevry versleuteld, maar ook de back-ups en logbestanden van de IT-serviceprovider. In het Zweedse Dagblad Dagens Nyheter wordt benoemd dat het in veel gevallen onmogelijk is om beschadigde gegevens te bestellen. Dit omdat de hackers de back-ups versleuteld hebben die de IT-dienstverlener contractueel moet bewaren. Voor veel klanten zijn de gegevens dus voor altijd verloren. 

Herstelperiode onbekend, grote gevolgen

In haar persberichten heeft Tietoevry meermaals aangegeven niet te weten hoelang het herstelproces zal duren. Gezien de aard van het incident en het aantal klant specifieke systemen dat moet worden hersteld kan de totale hersteltijd uitlopen tot enkele weken.  Tietoevry zegt er alles aan te doen om de gegevens zo snel mogelijk te herstellen. Daarnaast proberen zij de nakomende schade door de IT uitval zo veel mogelijk beperken.

Deze nakomende schade brengt grote gevolgen met zich mee. Medische patiëntgegevens en financiële systemen zijn momenteel onbereikbaar, waardoor crisismanagement plannen in werking zijn gesteld. Primula, een salarissysteem dat voor enkele overheidsinstanties en universiteiten wordt gebruikt, is ook verstoord waardoor problemen met salaris uitbetalingen zijn ontstaan. Ook zijn IT-systemen van farmaceutische bedrijven uitgevallen. Hierdoor wordt het leveren van medicatie aan apotheken bemoeilijkt en dient dit proces nu handmatig gedaan te worden. Dit benadrukt de potentiële schade voor bedrijfscontinuïteit tijdens IT uitval en het belang van een juiste back-up- en recoverystrategie.

Kwetsbaarheden blijven onduidelijk

Het is tot nu toe nog onbekend hoe de aanvallers toegang konden krijgen tot de geïnfiltreerde systemen en welke kwetsbaarheden mogelijk zijn misbruikt. Doordat de hackers de logsystemen hebben versleuteld slagen zij erin hun eigen sporen te vervagen. Dit maakt het oplossen en onderzoeken van dit incident significant lastiger.

Lessons learned.

Ondanks dat Tietoevry contractueel voor de back-ups van haar klanten moet zorgen en een robuuste back-up en herstelstrategie zou hebben, is de schade van deze ransomware aanval desastreus. De grootschalige IT uitval heeft voor veel bedrijven gezorgd voor verstoringen van hun operationele processen en het verlies van grote hoeveelheden kritische data. Deze case benadrukt het belang van een robuuste back-up- en recoverystrategie, waarbij bedrijven zich moeten afvragen of ze volledig kunnen vertrouwen op datacenters om hun data te beheren. Wat als zij zelf een back-up systeem hadden op hun eigen locatie? Een systeem met de nodige extra beveiligingsmaatregelen zoals een airgap of optionele WORM verzegeling om datagarantie te verhogen?