Een aantal klanten, die WinSys als zogeheten ‘virtual machine’ host in zijn datacenteromgeving, is getroffen door de nieuwste variant van LockBit. Het hostingbedrijf uit IJmuiden brengt momenteel in kaart wat de schade is en welke acties nodig zijn om de schade te beperken.
WinSys schrijft in een verklaring op Facebook dat de LockBit-ransomware-hackers een ‘ingang’ hebben gevonden via de Internet Information Server. Op deze IIS (een bijna standaard service van Windows) draait in veel gevallen een publicatie van Remote Apps. Het bedrijf stelt alle, de door hun gehoste, servers die vanuit de buitenwereld benaderbaar moeten zijn, dagelijks automatisch te voorzien van updates. Maar dat in de praktijk het bedrijf standaard altijd achterloopt op dit soort goed georganiseerde criminele clubs. Bovendien zijn er klanten die werken met oudere serversystemen die geen updates meer krijgen en daardoor extra kwetsbaar zijn. Denk daarbij aan SBS2008 en recent SBS2012.
Onduidelijk is hoe groot de schade is die de LockBit 3.0 encryptie-aanval heeft aangericht. Op de website van WinSys zijn geen publieke updates meer terug te vinden en het bedrijf was niet bereikbaar voor commentaar. Eerder meldde het bedrijf nog: ‘WinSys en het datacenter zijn op dit moment ernstig aangevallen door de allernieuwste LockBit 3.0 encryptie op alle backups en veel grote servers. Alle servers in het datacenter met data staan nu tijdelijk op pauze en zijn dus niet bereikbaar.’
Overigens wist afgelopen februari Europol met een grote verstoringsactie 34 servers van LockBit uit de lucht te halen. En er staat er een beloning van tien miljoen euro op het hoofd van de gevreesde ransomware-bendeleider, de Rus Dmitriy Yurevich Khoroshev.
