Grote cyberaanval treft ook Nederlandse bedrijven

In de nacht van vrijdag op zaterdag (Nederlandse tijd) werd bekend dat de hackersgroep die bekendstaat als REvil ransomware wist te verspreiden via zogheten VSA-software van Kaseya. Bij ransomware, ook wel gijzelsoftware genoemd, breken cybercriminelen in op systemen van bedrijven om ze te versleutelen. Pas na betaling van losgeld geven ze de sleutel om die blokkade ongedaan te maken.

Het probleem is dat de VSA-software veel gebruikt wordt door IT-dienstverleners, die dit programma gebruiken om systemen van hun klanten op afstand te onderhouden en te beheren. Door juist in die software een achterdeur in te bouwen, hebben de hackers dus een gigantisch bereik.

Data

IT-beveiliger Northwave Nederland bevestigt dat zeker één Nederlands bedrijf om hulp heeft gevraagd wegens de aanval. Om welk bedrijf het gaat en welke omvang die onderneming heeft, kan algemeen directeur Pim Takkenberg niet zeggen. Wel verwacht hij dat in de loop van het weekend en maandag meer bedrijven zullen ontdekken dat ze zijn gehackt.

REvil beweert honderden terabytes van ruim honderd bedrijven te hebben buitgemaakt, zegt Takkenberg. Als extra drukmiddel, naast ransomware, dreigen ze die gegevens openbaar te maken. Of er daadwerkelijk zoveel data zijn gestolen, is moeilijk in te schatten.

Nachtmerrie

VelzArt, dat vooral MKB-bedrijven helpt met IT-beheer, meldt via een eigen blog dat besmette systemen voor grote problemen bij zijn klanten zorgt. Medewerkers hebben de hele nacht doorgewerkt om problemen zo veel mogelijk te verhelpen. Hoe veel klanten zijn getroffen, is niet duidelijk. VelzArt was in de weekenduren niet direct telefonisch bereikbaar voor commentaar.

Technisch dienstverlener Hoppenbrouwer in Uden laat aan het Brabants Dagblad weten te zijn gehackt. "Voor IT-dienstverleners is dit echt een van de ergste nachtmerries", zegt Dave Maasland, directeur van de Nederlandse divisie van cyberbeveiliger ESET. Hij wijst erop dat Kaseya in de top vijf staat van aanbieders van software voor het beheren van IT-systemen. "Het gaat om honderden IT-bedrijven die dit in Nederland gebruiken. Dit is de gereedschapskist voor IT-dienstverleners, dus het is alsof ze nu ontdekken dat hun schroevendraaier kapot is en een gebouw op instorten staat."

Gijzeling

Algemeen directeur Inge Bryan van Fox-It, een bekend cyberveiligheidsbedrijf, wijst erop dat aanvallen via veel gebruikte software erg verraderlijk zijn. "Dit noemen we supply chain attacks. Het duurt langer voordat je dit type aanval ontdekt. Maar vooral, als je erin zit heb je meteen een heel grote uitstraling. Dan zit je bij alle klanten." Cybercriminelen kunnen de ingang die ze hebben gevonden bovendien voor meer dan alleen gijzelsoftware gebruiken, legt ze uit. Zo kunnen ze data stelen, waarmee bedrijven vervolgens worden afgeperst.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwde eerder op de dag al voor de aanval via VSA-software. Er zijn bij de afdeling van het ministerie van Justitie en Veiligheid geen vitale bedrijven of organisaties, zoals luchthavens, gas- en elektraleveranciers, bekend die gebruikmaken van het aangevallen beheersysteem.