Grote hackaanval met gijzelsoftware treft ook veel mkb-bedrijven, daders eisen 70 miljoen dollar losgeld

,,Als iemand wil onderhandelen over een universele decoderingssleutel - onze prijs is 70.000.000 dollar in bitcoin en we zullen openbaar een sleutel plaatsen die de documenten van alle slachtoffers ontsleutelt, zodat iedereen binnen een uur van de aanval hersteld kan zijn", zo valt te lezen in het bericht dat afkomstig lijkt van REvil, een aan Rusland gelinkte hackersgroep, op hun site Happy Blog op het dark web.

De aanval is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven op een product dat wordt gebruikt voor beheer op afstand, uit te schakelen. Dat heet VSA. Volgens het NCSC wordt dat product veel gebruikt bij beheerpartijen die ICT-steun verlenen aan andere bedrijven, meldt het AD.

Volgens Dave Maasland van cyberveiligheidsbedrijf ESET Nederland zijn er meer Nederlandse bedrijven getroffen. Hij weet in elk geval van één andere Nederlandse firma - details daarover ontbreken vooralsnog - maar volgens hem moeten het er meer zijn. ,,Het kan ook zijn dat bedrijven zijn besmet met deze ransomware maar dat zelf nog niet weten.” Hoe groot de impact is, hangt onder meer af van wanneer de criminelen digitaal hebben ingebroken. Het kan zijn dat zij al lange tijd binnen zijn en dus al veel schade hebben aangericht. In Zweden is in elk geval supermarktketen Coop slachtoffer, melden meerdere buitenlandse media; alle 800 winkels zijn dicht.

'Moet op hoogste niveau door Rutte over gesproken worden'

Bedrijven in binnen- en buitenland hebben waarschijnlijk nog dagen, misschien wel weken de handen vol aan de cyberaanval die vrijdag door criminelen werd ingezet. Dave Maasland spreekt van een wake-up call. ,,Hier moet op het hoogste niveau door Rutte over gesproken worden.”

Cyberbeveiligingsbedrijf Huntress Labs heeft verschillende zogeheten managed service providers (dienstverleners) geïdentificeerd die kampen met ransomware-incidenten. Die maken allemaal gebruik van VSA. Volgens het cyberbeveiligingsbedrijf zijn minstens 1000 bedrijven, die klant zijn bij deze managed service providers, door de hack getroffen. Er zouden tot dusver in zeventien landen slachtoffers zijn gemaakt.

'Ook meerdere mkb-bedrijven zijn getroffen'

Vaak maken Nederlandse bedrijven niet bekend dat zij door ransomware getroffen zijn. Zij vrezen voor reputatieschade of betalen losgeld aan de criminelen en willen niet dat dit bekend wordt. Experts gaan ervan uit dat slechts het topje van de ijsberg in de publiciteit komt. Ook nu is het dus de vraag welke Nederlandse bedrijven openlijk vertellen dat zij slachtoffer zijn van deze cyberaanval.

'Impact is enorm: alle computers zo veel mogelijk uit of uit zetten'

Een Nederlands bedrijf dat gespecialiseerd is in ict voor het midden- en kleinbedrijf meldt dat zij uit al hun contacten ‘lijken op te kunnen maken dat systemen, die gisteren tussen 18.00 uur en 20:00 uur hebben aangestaan, zijn geïnfecteerd’, zo staat te lezen in een verklaring. ,,Besmette systemen komen tot nu toe voor in verschillende varianten. Sommige systemen zijn volledig ontoegankelijk, met andere systemen kan nog gewerkt worden’’, aldus VelzArt. ,,De impact is enorm’’, zo schrijft het Nederlandse it-bedrijf, dat aanraadt om alle computers zo veel mogelijk uit te laten of te zetten.

Onder meer technisch dienstverlener Hoppenbrouwers is door de aanval getroffen. Het bedrijf vertelt dat de hack vrijdagavond al werd ontdekt, waardoor snel kon worden opgetreden. De ict’ers van het Udenhoutse bedrijf hebben toen meteen alles afgeschakeld. ,,We zijn tot 3 uur ‘s nachts bezig geweest om een plan de campagne te maken”, zegt directeur De Haas. De impact is en blijft groot. Hoewel slechts een deel van de computers al met de ransomware geïnfecteerd lijkt, worden alle computers dit weekeinde uit voorzorg opgeschoond. Dat zijn er tussen de 1500 en 2000.

'Weinig slaap voor ICT-beheerders in ons land dit weekend'

Maasland voorspelt dat heel veel ict-beheerders in ons land dit weekend weinig slapen en niet barbecueën. ,,Vergelijk het met een distributiecentrum van waaruit bedorven voedsel is verspreid. Eer dat je in kaart hebt gebracht waar dat voedsel allemaal terecht is gekomen, ben je een flinke tijd verder.”

Ransomware-aanvallen vinden ogenschijnlijk vaak in het weekend plaats, mogelijk omdat veel ict-beheerders dan vrij zijn en de verdediging misschien zwakker is. Maasland wijst erop dat de Amerikanen op 4 juli bovendien Independence Day vieren en juist Amerikaanse bedrijven nu massaal getroffen zijn. Hij spreekt van een ‘nachtmerrie’. Volgens hem zetten de criminelen met deze aanval een nieuwe stap. ,,Kaseya is één van de grootste softwareleveranciers op aarde. Zij leveren software om computers op afstand juist veilig te houden. Dat uitgerekend via zo’n tool deze ransomware wordt verspreid is heel erg.”

'Dit is een groot waarschuwingssignaal'

Het toont ook de brutaliteit van de criminelen die voor een grote aanval als dit blijkbaar niet terugdeinzen. De vrees van experts als Maasland is dat criminelen met hun ransomware zoveel geld ophalen dat zij steeds meer geavanceerde aanvalsmethodes kunnen kopen. ,,Dit is een groot waarschuwingssignaal.”

Normaal gesproken gaan ransomwarebendes met al hun slachtoffers apart in onderhandeling over het vrijgeven van gegevens en het losgeld. Of dat in dit geval ook haalbaar is, is onduidelijk. De eerste berichten laten volgens Maasland zien dat er relatief lage bedragen zij geëist, van rond de 50.000 dollar.

Kaseya verwacht dat aantal getroffen bedrijven nog sterk zal oplopen

Zogenoemde gijzelsoftware of ransomware blokkeert toegang tot de bestanden van het slachtoffer, die meestal alleen worden vrijgegeven na betaling van een som losgeld.

Hoewel nog niet vaststaat dat het beheer op afstand de bron is van de aanval, raadt Kaseya in een verklaring op de website organisaties ten sterkste aan het direct uit te schakelen. Het cyberbeveiligingsbedrijf verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. In welke landen de bedrijven precies zijn getroffen is niet duidelijk, maar het gaat in ieder geval om de Verenigde Staten. Het softwarebedrijf denkt de zwakke plek te hebben gevonden die de hackers hebben uitgebuit en brengt snel reparatiesoftware uit.

Het losgeld dat de hackers vragen, kan volgens het cyberbeveiligingsbedrijf bij sommige bedrijven oplopen tot 5 miljoen dollar.

,,Dit is een van de ingrijpendste - niet door een staat uitgevoerde - aanvallen die we ooit hebben gezien en het lijkt puur bedoeld om geld afhandig te maken’’, zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is er haast geen betere manier om schadelijke software (malware) te verspreiden dan via vertrouwde ICT-dienstverleners.

De groep die achter de hack zit, staat volgens cyberbeveiligingsbedrijf Recorded Future bekend als REvil. Die zat ook achter de hack bij vleesverwerkingsbedrijf JBS, waardoor vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.

Die aanval kwam niet lang na een grote cyberaanval tegen het Amerikaanse Colonial Pipeline. Door die hack moest een belangrijke oliepijplijn tijdelijk worden platgelegd, waardoor er tekorten aan benzine bij tankstations ontstonden en de brandstofprijzen flink stegen. Ook hiervan worden Russische hackers verdacht, met de naam DarkSide.

Meer tips? In deze podcast spreken we met Richard Wolters van Motiv ICT Security over de maatregelen die je hier als ondernemer tegen kunt nemen, ook gerelateerd aan het thuiswerken.