Een aan Rusland gelinkte hackersgroep heeft met een grootschalige cyberaanval intussen meer dan duizend bedrijven getroffen. In ons land wordt ook het mkb geraakt. Het Nationaal Cyber Security Centrum roept bedrijven op een product dat wordt gebruikt voor beheer op afstand, VSA, uit te schakelen. ‘De impact is enorm’, meldt it-bedrijf VelzArt, dat aanraadt om alle computers zo veel mogelijk uit te laten of te zetten. De vermoedelijke daders hebben een losgeldbedrag van 70 miljoen dollar in bitcoin geëist.
De aanval is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven op een product dat wordt gebruikt voor beheer op afstand, uit te schakelen. Dat heet VSA. Volgens het NCSC wordt dat product veel gebruikt bij beheerpartijen die ICT-steun verlenen aan andere bedrijven, meldt het AD.
Volgens Dave Maasland van cyberveiligheidsbedrijf ESET Nederland zijn er meer Nederlandse bedrijven getroffen. Hij weet in elk geval van één andere Nederlandse firma – details daarover ontbreken vooralsnog – maar volgens hem moeten het er meer zijn. ,,Het kan ook zijn dat bedrijven zijn besmet met deze ransomware maar dat zelf nog niet weten.” Hoe groot de impact is, hangt onder meer af van wanneer de criminelen digitaal hebben ingebroken. Het kan zijn dat zij al lange tijd binnen zijn en dus al veel schade hebben aangericht. In Zweden is in elk geval supermarktketen Coop slachtoffer, melden meerdere buitenlandse media; alle 800 winkels zijn dicht.
‘Moet op hoogste niveau door Rutte over gesproken worden’
Bedrijven in binnen- en buitenland hebben waarschijnlijk nog dagen, misschien wel weken de handen vol aan de cyberaanval die vrijdag door criminelen werd ingezet. Dave Maasland spreekt van een wake-up call. ,,Hier moet op het hoogste niveau door Rutte over gesproken worden.”
Meerdere mkb-bedrijven getroffen
Vaak maken Nederlandse bedrijven niet bekend dat zij door ransomware getroffen zijn. Zij vrezen voor reputatieschade of betalen losgeld aan de criminelen en willen niet dat dit bekend wordt. Experts gaan ervan uit dat slechts het topje van de ijsberg in de publiciteit komt. Ook nu is het dus de vraag welke Nederlandse bedrijven openlijk vertellen dat zij slachtoffer zijn van deze cyberaanval.
Impact is enorm
Onder meer technisch dienstverlener Hoppenbrouwers is door de aanval getroffen. Het bedrijf vertelt dat de hack vrijdagavond al werd ontdekt, waardoor snel kon worden opgetreden. De ict’ers van het Udenhoutse bedrijf hebben toen meteen alles afgeschakeld. ,,We zijn tot 3 uur ‘s nachts bezig geweest om een plan de campagne te maken”, zegt directeur De Haas. De impact is en blijft groot. Hoewel slechts een deel van de computers al met de ransomware geïnfecteerd lijkt, worden alle computers dit weekeinde uit voorzorg opgeschoond. Dat zijn er tussen de 1500 en 2000.
Ransomware-aanvallen vinden ogenschijnlijk vaak in het weekend plaats, mogelijk omdat veel ict-beheerders dan vrij zijn en de verdediging misschien zwakker is. Maasland wijst erop dat de Amerikanen op 4 juli bovendien Independence Day vieren en juist Amerikaanse bedrijven nu massaal getroffen zijn. Hij spreekt van een ‘nachtmerrie’. Volgens hem zetten de criminelen met deze aanval een nieuwe stap. ,,Kaseya is één van de grootste softwareleveranciers op aarde. Zij leveren software om computers op afstand juist veilig te houden. Dat uitgerekend via zo’n tool deze ransomware wordt verspreid is heel erg.”
Waarschuwingssignaal
Het toont ook de brutaliteit van de criminelen die voor een grote aanval als dit blijkbaar niet terugdeinzen. De vrees van experts als Maasland is dat criminelen met hun ransomware zoveel geld ophalen dat zij steeds meer geavanceerde aanvalsmethodes kunnen kopen. ,,Dit is een groot waarschuwingssignaal.”
Normaal gesproken gaan ransomwarebendes met al hun slachtoffers apart in onderhandeling over het vrijgeven van gegevens en het losgeld. Of dat in dit geval ook haalbaar is, is onduidelijk. De eerste berichten laten volgens Maasland zien dat er relatief lage bedragen zij geëist, van rond de 50.000 dollar.
Kaseya verwacht dat aantal getroffen bedrijven nog sterk zal oplopen
Zogenoemde gijzelsoftware of ransomware blokkeert toegang tot de bestanden van het slachtoffer, die meestal alleen worden vrijgegeven na betaling van een som losgeld.
Hoewel nog niet vaststaat dat het beheer op afstand de bron is van de aanval, raadt Kaseya in een verklaring op de website organisaties ten sterkste aan het direct uit te schakelen. Het cyberbeveiligingsbedrijf verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. In welke landen de bedrijven precies zijn getroffen is niet duidelijk, maar het gaat in ieder geval om de Verenigde Staten. Het softwarebedrijf denkt de zwakke plek te hebben gevonden die de hackers hebben uitgebuit en brengt snel reparatiesoftware uit.
Het losgeld dat de hackers vragen, kan volgens het cyberbeveiligingsbedrijf bij sommige bedrijven oplopen tot 5 miljoen dollar.
,,Dit is een van de ingrijpendste – niet door een staat uitgevoerde – aanvallen die we ooit hebben gezien en het lijkt puur bedoeld om geld afhandig te maken’’, zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is er haast geen betere manier om schadelijke software (malware) te verspreiden dan via vertrouwde ICT-dienstverleners.
De groep die achter de hack zit, staat volgens cyberbeveiligingsbedrijf Recorded Future bekend als REvil. Die zat ook achter de hack bij vleesverwerkingsbedrijf JBS, waardoor vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.
Bron: deondernemer.nl