Wereldwijde hackaanval met gijzelsoftware gaande: systemen Nederlandse mkb’ers ‘volledig ontoegankelijk’

Zogenoemde gijzelsoftware of ransomware blokkeert toegang tot de bestanden van het slachtoffer. De sleutel wordt meestal alleen vrijgegeven na betaling van losgeld. De wereldwijde aanval die nu gaande is, is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven op een product dat wordt gebruikt voor beheer op afstand, uit te schakelen. Dat heet VSA. Volgens het NCSC wordt dat product veel gebruikt bij partijen die ICT-steun verlenen aan andere bedrijven.

In Nederland is onder meer technisch dienstverlener Hoppenbrouwers door de aanval getroffen. Het bedrijf vertelt dat de hack vrijdagavond al werd ontdekt, waardoor snel kon worden opgetreden. De ict’ers van het Udenhoutse bedrijf hebben toen meteen alles afgeschakeld. ,,We zijn tot 3 uur ‘s nachts bezig geweest om een plan de campagne te maken”, zegt directeur De Haas. De impact is en blijft groot. Hoewel slechts een deel van de computers al met de ransomware geïnfecteerd lijkt, worden alle computers dit weekeinde uit voorzorg opgeschoond. Dat zijn er tussen de 1500 en 2000.  

Volgens Dave Maasland van cyberveiligheidsbedrijf ESET Nederland kun je veilig stellen dat er meer Nederlandse bedrijven getroffen zijn. Hij weet in elk geval van één andere Nederlandse firma - details daarover ontbreken vooralsnog - maar volgens hem moeten het er meer zijn. ,,Het kan ook zijn dat bedrijven zijn besmet met deze ransomware maar dat zelf nog niet weten.” Hoe groot de impact is, hangt onder meer af van wanneer de criminelen digitaal hebben ingebroken. Het kan zijn dat zij al lange tijd binnen zijn en dus al veel schade hebben aangericht. In Zweden is in elk geval supermarktketen Coop slachtoffer, melden meerdere buitenlandse media; alle 800 winkels zijn dicht.

Een Nederlands bedrijf dat gespecialiseerd is in ict voor het midden- en kleinbedrijf meldt dat zij uit al hun contacten ‘lijken op te kunnen maken dat systemen, die gisteren tussen 18.00 uur en 20:00 uur hebben aangestaan, zijn geïnfecteerd’, zo staat te lezen in een verklaring. ,,Besmette systemen komen tot nu toe voor in verschillende varianten. Sommige systemen zijn volledig ontoegankelijk, met andere systemen kan nog gewerkt worden’’, aldus VelzArt dat honderden klanten heeft. ,,De impact is enorm’’, zo schrijft het Nederlandse it-bedrijf, dat aanraadt om alle computers zo veel mogelijk uit te laten of te zetten. 

^{Lees door onder de tweet.}

Maasland voorspelt dat ook in ons land heel veel ict-beheerders dit weekend weinig slapen en niet barbecueën. ,,Vergelijk het met een distributiecentrum van waaruit bedorven voedsel is verspreid. Eer dat je in kaart hebt gebracht waar dat voedsel allemaal terecht is gekomen, ben je een flinke tijd verder.”

Vaak maken Nederlandse bedrijven niet bekend dat zij door ransomware getroffen zijn. Zij vrezen voor reputatieschade of betalen losgeld aan de criminelen en willen niet dat dit bekend wordt. Experts gaan ervan uit dat slechts het topje van de ijsberg in de publiciteit komt. Ook nu is het dus de vraag welke Nederlandse bedrijven openlijk vertellen dat zij slachtoffer zijn van deze cyberaanval.

Ransomware-aanvallen vinden ogenschijnlijk vaak in het weekend plaats, mogelijk omdat veel ict-beheerders dan vrij zijn en de verdediging misschien zwakker is. Maasland wijst erop dat de Amerikanen op 4 juli bovendien Independence Day vieren en juist Amerikaanse bedrijven nu massaal getroffen zijn. Hij spreekt van een ‘nachtmerrie’. Volgens hem zetten de criminelen met deze aanval een nieuwe stap. ,,Kaseya is één van de grootste softwareleveranciers op aarde. Zij leveren software om computers op afstand juist veilig te houden. Dat uitgerekend via zo’n tool deze ransomware wordt verspreid is heel erg.”

Het toont ook de brutaliteit van de criminelen die voor een grote aanval als dit blijkbaar niet terugdeinzen. De vrees van experts als Maasland is dat criminelen met hun ransomware zoveel geld ophalen dat zij steeds meer geavanceerde aanvalsmethodes kunnen kopen. ,,Dit is een groot waarschuwingssignaal.”

Normaal gesproken gaan ransomwarebendes met al hun slachtoffers apart in onderhandeling over het vrijgeven van gegevens en het losgeld. Of dat in dit geval ook haalbaar is, is onduidelijk. 

Uit onderzoek van deze site blijkt dat het waarschijnlijk ook Russische hackers waren die op een Nederlandse universiteit toesloegen. De informatie die gestolen is van de Leidenaren zou vermoedelijk zijn ‘doorgespeeld of verkocht aan de Iraanse Arvin Club’.  En die willen geld zien. Hackers hebben op de Universiteit Leiden accountgegevens van medewerkers, huisadressen en beschrijvingen van onderzoek buitgemaakt. Criminelen dreigen met online publicatie van de gestolen gegevens als de universiteit niet betaalt, zo bevestigt Leiden University. 

Het is onduidelijk of de aanval op de Leidse universiteit ook het gevolg is van de grootschalige cyberaanval die nog gaande is. Maar die kans lijkt klein aangezien de digitale inbraak in Leiden minimaal vijf dagen en waarschijnlijk langer geleden is. 

Cyberbeveiligingsbedrijf Huntress Labs heeft verschillende zogeheten managed service providers (dienstverleners) geïdentificeerd die kampen met ransomware-incidenten. Die maken allemaal gebruik van VSA. Volgens het cyberbeveiligingsbedrijf zijn minstens 1000 bedrijven, die klant zijn bij deze managed service providers, door de hack getroffen. Er zouden tot dusver in zeventien landen slachtoffers zijn gemaakt.

Hoewel nog niet vaststaat dat het beheer op afstand de bron is van de aanval, raadt Kaseya in een verklaring op de website organisaties ten sterkste aan het direct uit te schakelen. Het cyberbeveiligingsbedrijf verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. Het softwarebedrijf denkt de zwakke plek te hebben gevonden die de hackers hebben uitgebuit en brengt snel reparatiesoftware uit.

Het losgeld dat de hackers vragen, kan volgens het cyberbeveiligingsbedrijf bij sommige bedrijven oplopen tot 5 miljoen dollar.

,,Dit is een van de ingrijpendste - niet door een staat uitgevoerde - aanvallen die we ooit hebben gezien en het lijkt puur bedoeld om geld afhandig te maken’’, zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is er haast geen betere manier om schadelijke software (malware) te verspreiden dan via vertrouwde ICT-dienstverleners.

De groep die achter de hack zit, staat volgens cyberbeveiligingsbedrijf Recorded Future bekend als REvil. Die zat ook achter de hack bij vleesverwerkingsbedrijf JBS, waardoor vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.

Die aanval kwam niet lang na een grote cyberaanval tegen het Amerikaanse Colonial Pipeline. Door die hack moest een belangrijke oliepijplijn tijdelijk worden platgelegd, waardoor er tekorten aan benzine bij tankstations ontstonden en de brandstofprijzen flink stegen. Ook hiervan worden Russische hackers verdacht, met de naam DarkSide.

^{Lees door onder het kader.} 

Het is niet de eerste keer dat een groot aantal bedrijven getroffen wordt door een wereldwijde hack. In 2017 lagen in Nederland twee grote containerterminals in de Rotterdamse haven stil. Ook farmaceut MSD, pakketbezorger TNT en de 38 vestigingen van bouwmaterialenleverancier Raab Kärcher zijn getroffen. De Deense containergigant Maersk was één van de eerste slachtoffers, maar al snel bleek dat veel meer bedrijven getroffen zijn. Amerikaanse farmaceut Merck, Russische oliegigant Rosneft, Brits advertentiebedrijf WPP, Spaans voedselbedrijf Mondelez: overal gingen de computersystemen plat. In Oekraïne werd het vliegveld bij Kiev getroffen, net als meerdere banken.

Dat jaar maakte de cryptoworm WannaCry over de hele wereld slachtoffers. In een dag waren 230.000 computers in 150 landen geïnfecteerd. Onder meer Britse ziekenhuizen, de Duitse spoorwegen en Spaans telecombedrijf Telefonica werden getroffen. Op geïnfecteerde computers toonden ze een schermtekst waarin 300 dollar in bitcoins werd geëist. Dat bedrag moet naar een speciale digitale portemonnee worden overgemaakt. Wie dat deed, kreeg de gegijzelde bestanden echter niet terug. 

Lees hier het hele verhaal over wat er is gehackt bij een Nederlandse universiteit. Universiteit Leiden gehackt, Iraanse groep wil geld zien