IT-integrator SPIE ICS slachtoffer van ransomware – update

De diensten van IT-integrator SPIE ICS, een relatief nieuwe afdeling onder de Belgische tak van de SPIE-groep, zijn al enkele sinds zondagavond onbeschikbaar voor verschillende klanten als gevolg van een ransomware-aanval.

Recentste update: 30/01 13u00 – Het stuk verscheen oorspronkelijk maandagmiddag maar is intussen herwerkt aan de hand van de reactie van SPIE ICS om de actuele situatie weer te geven en de impact te verduidelijken.

ICS, de Belgische IT-afdeling van internationale ICT-integrator SPIE, is het slachtoffer geworden van ransomware. De malware heeft een impact op de beschikbaarheid van de diensten van SPIE ICS. De dienstverlening zou al sinds zondagavond hinder ondervinden, met voelbare gevolgen voor een deel van de klanten. Enkele klanten lieten inderdaad aan Techzine weten dat hun eigen activiteiten plat liggen als gevolg van de problemen.

Die problemen begonnen zondagavond om 17u. SPIE ICS communiceert zelf dat ransomware aan de basis ligt. Op dit moment werkt de ICT-leverancier aan een oplossing.

“Sinds zondagavond 17u zijn teams in de weer op het probleem om te lossen”, laat Laure Simon van SPIE ICS weten in een reactie aan Techzine. “Een crisiscel werd opgezet. Met behulp van experts in cybercriminaliteit, testen de ICS-teams momenteel een oplossingsprotocol. Van het ogenblik dat vaststaat dat dit protocol werkt, wordt het geactiveerd bij alle betrokken klanten.”

In een update gisteren laat SPIE ICS weten dat de vooropgestelde oplossing intussen gevalideerd is door twee externe partijen. Intussen kon SPIE ICS al een deel van de offline gehaalde diensten opnieuw beschikbaar stellen aan de getroffen klanten. Zo is mail opnieuw beschikbaar via webmail. Bovendien implementeer SPIE ICS extra maatregelen om een gelijkaardig voorval in de toekomst te voorkomen.

Donderdagmiddag liet SPIE ICS weten dat het in de loop van de dag alles opnieuw heropstart en klantendata zal herstellen. Tijdens die heropstart kan de dienstverlening verdere hinder ondervinden. Aan Techzine bevestigen klanten dat ze op het moment van dit schrijven inderdaad nog niet opnieuw online zijn, maar SPIE ICS effectief plant om tegen het einde van de dag alles opnieuw op orde te hebben.

Impact

Aanvankelijk was het onduidelijk hoe groot de impact van de aanval was voor de klanten van SPIE ICS. Bruno Borremans, Division Director ICS bij SPIE Belgium, heeft maandagmiddag contact opgenomen met de redactie maar wenste toen geen extra commentaar te geven bovenop de officiële communicatie, die via de website van het bedrijf verloopt.

Intussen geeft Simon wel meer duidelijkheid: “Om erger te voorkomen heeft ICS maandagvoormiddag al besloten om 75 van haar ongeveer 3.000 klanten af te koppelen van de getroffen IT-servers. ICS houdt de afgekoppelde klanten bij elke nieuwe stap op de hoogte.”

Die updates zijn gelijkaardig aan wat we op de website van SPIE ICS kunnen lezen. Daar kregen we mondjesmaat informatie over de aard van de problemen, en communiceerde SPIE ICS al enkele servers te hebben afgesloten.

Het bedrijf laat weten dat het alvast klacht heeft neergelegd en de bevoegde instanties heeft ingelicht. Simon: Met het oog op het neerleggen van een klacht voor deze aanval, geklasseerd met ernstgraad 1, heeft ICS inmiddels ook de bevoegde gerechtelijke autoriteiten gecontacteerd.”

Nieuwe bedrijfstak

SPIE lanceerde ICS op 17 januari vorig jaar in ons land, na de overname van Systemat. ICS focust zich specifiek op technische en digitale diensten met Colligo: een platform dat een link moet leggen tussen de expertise van SPIE Belgium en de technische data van klanten. De dienstverlener biedt verder ook traditionelere zaken aan, zoals management van Citrix-omgevingen en Microsoft Exchange. SPIE Belgium heeft 16 vestigingen in ons land (plus één in Luxemburg) en stelt 1.850 mensen te werk.

Beveiligingsspecialist Covewar rapporteerde pas nog dat de impact van ransomware, wat een vorm is van crypto-malware, blijft toenemen. In het laatste kwartaal van 2019 hadden bedrijven die het slachtoffer werden van een dergelijk virus gemiddeld iets meer dan 16 dagen nodig om er volledig bovenop te komen.

Crypto-virussen versleutelen bestanden en maken ze onbruikbaar. Vaak maken ze onderdeel uit van een ransomware-aanval, waarbij een bedrijf middels losgeld opnieuw controle kan krijgen over de eigen bestanden. SPIE ICS verduidelijkt niet of er in dit geval sprake was van een losgeldvraag of niet.