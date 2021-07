UPDATEEen aan Rusland gelinkte hackersgroep heeft met een grootschalige cyberaanval, die nog altijd aan de gang is, ongeveer tweehonderd bedrijven getroffen. De bedrijven zouden zijn getroffen door gijzelsoftware. Er zit in elk geval één Nederlandse firma bij, mogelijk meer.

De aanval is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven op een product dat wordt gebruikt voor beheer op afstand, uit te schakelen. Dat heet VSA. Volgens het NCSC wordt dat product veel gebruikt bij beheerpartijen die ICT-steun verlenen aan andere bedrijven.

Volgens Dave Maasland van cyberveiligheidsbedrijf ESET Nederland kun je veilig stellen dat de aanval op Kaseya ‘ook Nederlandse bedrijven heeft getroffen’. Hij weet in elk geval van één Nederlandse firma, waarover later mogelijk meer details volgen. Maar volgens hem moeten er meer bedrijven zijn. ,,Het kan ook zijn dat bedrijven zijn besmet met deze ransomware maar dat zelf nog niet weten. ” Hoe groot de impact is, hangt onder meer af van wanneer de criminelen digitaal hebben ingebroken. Het kan zijn dat zij al lange tijd binnen zijn en dus al veel schade hebben aangericht.

Weinig slaap

Maasland voorspelt dat heel veel ict-beheerders in ons land dit weekend weinig slapen en niet barbecueën. ,,Vergelijk het met een distributiecentrum van waaruit bedorven voedsel is verspreid. Eer dat je in kaart hebt gebracht waar dat voedsel allemaal terecht is gekomen, ben je een flinke tijd verder.”

Vaak maken Nederlandse bedrijven niet bekend dat zij door ransomware getroffen zijn. Zij vrezen voor reputatieschade of betalen losgeld aan de criminelen en willen niet dat dit bekend wordt. Experts gaan ervan uit dat slechts het topje van de ijsberg in de publiciteit komt. Ook nu is het dus de vraag welke Nederlandse bedrijven openlijk vertellen dat zij slachtoffer zijn van deze cyberaanval.

Ransomware-aanvallen vinden ogenschijnlijk vaak in het weekend plaats, mogelijk omdat veel ict-beheerders dan vrij zijn en de verdediging misschien zwakker is. Maasland wijst erop dat de Amerikanen op 4 juli bovendien Independence Day vieren en juist Amerikaanse bedrijven nu massaal getroffen zijn. Hij spreekt van een ‘nachtmerrie’. Volgens hem zetten de criminelen met deze aanval een nieuwe stap. ,,Kaseya is één van de grootste softwareleveranciers op aarde. Zij leveren software om computers op afstand juist veilig te houden. Dat uitgerekend via zo’n tool deze ransomware wordt verspreid is heel erg.”

Het toont ook de brutaliteit van de criminelen die voor een grote aanval als dit blijkbaar niet terugdeinzen. De vrees van experts als Maasland is dat criminelen met hun ransomware zoveel geld ophalen dat zij steeds meer geavanceerde aanvalsmethodes kunnen kopen. ,,Dit is een groot waarschuwingssignaal.”

Normaal gesproken gaan ransomwarebendes met al hun slachtoffers apart in onderhandeling over het vrijgeven van gegevens en het losgeld. Of dat in dit geval ook haalbaar is, is onduidelijk. De eerste berichten laten volgens Maasland zien dat er relatief lage bedragen zij geëist, van rond de 50.000 dollar.

Universiteit Leiden

Uit onderzoek van deze site blijkt dat het waarschijnlijk ook Russische hackers waren die op een Nederlandse universiteit toesloegen. De informatie die gestolen is van de Leidenaren zou vermoedelijk zijn ‘doorgespeeld of verkocht aan de Iraanse Arvin Club’. En die willen geld zien. Hackers hebben op de Universiteit Leiden accountgegevens van medewerkers, huisadressen en beschrijvingen van onderzoek buitgemaakt. Criminelen dreigen met online publicatie van de gestolen gegevens als de universiteit niet betaalt, zo bevestigt Leiden University.

Het is onduidelijk of de aanval op de Leidse universiteit ook het gevolg is van de grootschalige cyberaanval die nog gaande is. Maar die kans lijkt klein aangezien de digitale inbraak in Leiden minimaal vijf dagen en waarschijnlijk langer geleden is.

Bij de grote hack, waarbij ongeveer tweehonderd bedrijven zijn getroffen zijn door het cyberbeveiligingsbedrijf inmiddels acht dienstverleners geïdentificeerd die kampen met gijzelsoftware incidenten. Die zogeheten service providers maken allemaal gebruik van beheer op afstand. Volgens het cyberbeveiligingsbedrijf zijn tweehonderd bedrijven, die klant zijn bij deze managed service providers, door de hack getroffen.

Losgeld

Zogenoemde gijzelsoftware of ransomware blokkeert toegang tot de bestanden van het slachtoffer, die meestal alleen worden vrijgegeven na betaling van een som losgeld.

Hoewel nog niet vaststaat dat het beheer op afstand de bron is van de aanval, raadt Kaseya in een verklaring op de website organisaties ten sterkste aan het direct uit te schakelen. Het cyberbeveiligingsbedrijf verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. In welke landen de bedrijven precies zijn getroffen is niet duidelijk, maar het gaat in ieder geval om de Verenigde Staten. Het losgeld dat de hackers vragen, kan volgens het cyberbeveiligingsbedrijf bij sommige bedrijven oplopen tot 5 miljoen dollar.

Quote Dit is een van de ingrijpend­ste - niet door een staat uitgevoer­de - aanvallen die we ooit hebben gezien Andrew Howard, Kudelski Security

,,Dit is een van de ingrijpendste - niet door een staat uitgevoerde - aanvallen die we ooit hebben gezien en het lijkt puur bedoeld om geld afhandig te maken’’, zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is er haast geen betere manier om schadelijke software (malware) te verspreiden dan via vertrouwde ICT-dienstverleners.

11 miljoen

De groep die achter de hack zit, staat volgens cyberbeveiligingsbedrijf Recorded Future bekend als REvil. Die zat ook achter de hack bij vleesverwerkingsbedrijf JBS, waardoor vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.

Die aanval kwam niet lang na een grote cyberaanval tegen het Amerikaanse Colonial Pipeline. Door die hack moest een belangrijke oliepijplijn tijdelijk worden platgelegd, waardoor er tekorten aan benzine bij tankstations ontstonden en de brandstofprijzen flink stegen. Ook hiervan worden Russische hackers verdacht, met de naam DarkSide.

Rotterdamse Haven

Het is niet de eerste keer dat een groot aantal bedrijven getroffen wordt door een wereldwijde hack. In 2017 lagen in Nederland twee grote containerterminals in de Rotterdamse haven stil. Ook farmaceut MSD, pakketbezorger TNT en de 38 vestigingen van bouwmaterialenleverancier Raab Kärcher zijn getroffen. De Deense containergigant Maersk was één van de eerste slachtoffers, maar al snel bleek dat veel meer bedrijven getroffen zijn. Amerikaanse farmaceut Merck, Russische oliegigant Rosneft, Brits advertentiebedrijf WPP, Spaans voedselbedrijf Mondelez: overal gingen de computersystemen plat. In Oekraïne werd het vliegveld bij Kiev getroffen, net als meerdere banken.

Cryptoworm kroop in 230.000 computers in 150 landen

Dat jaar maakte de cryptoworm WannaCry over de hele wereld slachtoffers. In een dag waren 230.000 computers in 150 landen geïnfecteerd. Onder meer Britse ziekenhuizen, de Duitse spoorwegen en Spaans telecombedrijf Telefonica werden getroffen. Op geïnfecteerde computers toonden ze een schermtekst waarin 300 dollar in bitcoins werd geëist. Dat bedrag moet naar een speciale digitale portemonnee worden overgemaakt. Wie dat deed, kreeg de gegijzelde bestanden echter niet terug.

