Clop-aanval toont kwetsbare keten: lessen uit de hack van centric

Gepubliceerd op 24 januari 2025 om 15:32

 Deze podcast is AI-gegeneerd. (Engels)

De achtergrond van de clop-aanval

Het Nederlandse IT-bedrijf Centric is recentelijk in het nieuws gekomen vanwege een aanval door de beruchte Clop-ransomwaregroep. Hoewel de volledige omvang van het incident nog niet in detail bekend is gemaakt, verscheen er in december 2024 al een eerste vermelding van het bedrijf op de darkweblijst van deze criminele groepering. Clop, een afsplitsing van de criminele hackscene die zich gespecialiseerd heeft in het versleutelen en stelen van bedrijfsgegevens, zou met deze aanval erop uit zijn geweest losgeld af te dwingen. Centric levert een uitgebreid scala aan IT-diensten en softwareoplossingen aan sectoren variërend van overheden tot de financiële wereld. Hierdoor geldt het bedrijf als een cruciale schakel in de digitale infrastructuur van veel organisaties in Nederland.

Vanuit beveiligingsperspectief is een aanval op Centric extra zorgwekkend omdat het bedrijf toegang heeft tot systemen die grote hoeveelheden persoonsgegevens en vertrouwelijke bedrijfsdata bevatten. Gemeentelijke gegevens, IT-infrastructuren van zorginstanties en financiële transacties zijn daarbij enkele voorbeelden van wat in handen kan vallen van cybercriminelen. De Clop-groep staat erom bekend dat zij, zodra ze weten binnen te zijn in een netwerk, niet alleen data versleutelen maar ook exfiltreren. Deze gestolen data wordt vervolgens gebruikt als chantagemiddel: als het slachtoffer niet betaalt, dreigt publicatie op het darkweb of wordt de informatie verkocht aan andere kwaadwillenden.

Verschillende bronnen melden dat de aanval op Centric in verband staat met een kwetsbaarheid in software van de externe leverancier Cleo. Deze kwetsbaarheid, aangeduid als CVE-2024-55956, is een zero-day, wat betekent dat er nog geen publiek bekende oplossing of patch beschikbaar was op het moment dat de aanvallers toesloegen. De Clop-groep heeft deze kwetsbaarheid benut in Cleo’s file transfer software, waaronder LexiCom, VLTransfer en Harmony. Centric gaf later via een officiële verklaring aan dat er inderdaad sprake was van een kwetsbaarheid in een testsysteem, en dat er slechts een beperkt aantal privacygevoelige gegevens van één klant is gecompromitteerd.

Hoewel dit voor Centric gelukkig een relatief mild scenario lijkt te zijn, schetst het incident tegelijkertijd een verontrustend beeld: cybercriminelen weten hun doelen steeds doeltreffender te selecteren. Ze kiezen voor leveranciers en dienstverleners die een sleutelpositie innemen binnen een sector of een keten. Dat maakt hun aanvalspotentieel aanzienlijk groter, want wie via een zero-day binnenkomt bij een IT-dienstverlener, kan in sommige gevallen ook toegang krijgen tot de systemen van talloze klanten en partners. Dit zogeheten “supply chain effect” is een groeiende trend in de wereld van cybercrime en een van de meest zorgelijke ontwikkelingen van dit moment.

De Clop-groep zelf maakt bij herhaling duidelijk dat ze niet alleen vertrouwen op het versleutelen van bestanden, maar dat ze ook gedetailleerd inzicht hebben in welke data ze in handen hebben. Vaak stellen ze de getroffen organisaties voor de keuze: betalen binnen een strakke deadline of het risico lopen dat interne documenten, klantgegevens of zelfs broncodes op internet worden gegooid. Volgens meldingen in het criminele circuit zouden recentelijk meer dan 60 bedrijven met dezelfde dreiging zijn geconfronteerd.

Het risico voor de keten en waarom centric een aantrekkelijk doelwit is

Centric is niet zomaar een IT-bedrijf. Het profileert zich als een partij die organisaties helpt met softwareontwikkeling, cloudservices, managed services, IT-outsourcing en business process outsourcing. Dat betekent dat veel klanten deels vertrouwen op Centric voor het beheer van cruciale systemen. Denk hierbij aan gemeentelijke administratie, salarisverwerking, zorglogistiek en financiële processen. Zodra criminelen toegang krijgen tot deze netwerken, hebben ze mogelijk niet alleen inzicht in de systemen van Centric zelf, maar ook in die van haar opdrachtgevers.

Dit onderstreept het risico op een domino-effect: een succesvolle hack bij Centric kan leiden tot mogelijke datadiefstal en verstoringen bij meerdere andere organisaties. De afhankelijkheid van IT-partners is de laatste jaren sterk toegenomen. Bedrijven besteden hun IT-beheer uit, overheden maken gebruik van externe cloudomgevingen, en zorginstellingen werken met digitale platforms voor patiëntgegevens. Voor cybercriminelen is het daarom voordeliger zich te richten op de dienstverleners in plaats van op individuele organisaties. Op die manier kunnen ze in één klap meerdere doelwitten raken.

In het geval van de Clop-aanval op Centric is de precieze schaal van de impact nog niet volledig duidelijk. Officieel stelt Centric dat de aanval beperkt bleef tot een testsysteem. Toch is het reëel om aan te nemen dat er een reële dreiging uitgaat van dit soort aanvallen, zeker omdat Clop een reputatie heeft om in de keten verder te speuren naar mogelijkheden. Terecht zijn veel partners van Centric bezorgd en controleren zij hun eigen IT-omgevingen op mogelijke inbreuken of besmettingen.

Er is een duidelijk verband te zien met andere aanvallen die Clop recent uitvoerde. Zo waren er in korte tijd meerdere bedrijven die werden benaderd met een ultimatum: betaal losgeld of zie vertrouwelijke bedrijfsinformatie openbaar gemaakt worden. In zo’n situatie zijn de bedreigingen voor de reputatie en de continuïteit van de bedrijfsvoering immens. Betaalt men niet, dan kan cruciale data uitlekken. Betaalt men wel, dan is er geen garantie dat de criminelen daadwerkelijk afzien van publicatie of de data volledig verwijderen. Bovendien blijft het probleem van de kwetsbaarheid bestaan als er geen structurele beveiligingsmaatregelen worden doorgevoerd.

Voor de sector als geheel is dit incident een teken aan de wand dat IT-dienstverleners en hun klanten in gelijk tempo hun beveiliging moeten versterken. Het is allang niet meer genoeg om enkel de eigen infrastructuur te beveiligen; ketenpartners, softwareleveranciers en cloudproviders moeten ook onderling transparant zijn over mogelijke risico’s en kwetsbaarheden. Het incident bij Centric roept daarmee de vraag op of er voldoende ketenafspraken zijn over cybersecurity. Worden patches wel direct doorgevoerd bij alle klanten? Is er voldoende monitoring op test- en ontwikkelomgevingen? En wordt er snel gecommuniceerd zodra er een mogelijk datalek aan het licht komt?

Openheid, ketentransparantie en het belang van delen van informatie

Een van de vragen die naar aanleiding van dit soort incidenten vaak rijst, is: waarom zou je openheid geven over een hack, zeker als het om gevoelige bedrijfsinformatie gaat? Sommigen stellen dat dit de reputatie van het getroffen bedrijf kan beschadigen of mogelijk zelfs criminelen verder op ideeën brengt. Toch zijn er goede redenen om incidenten zoals een ransomware-aanval publiekelijk te maken. Ten eerste kan het andere organisaties in de keten direct alerteren, zodat zij preventieve maatregelen nemen en hun systemen grondig doorlichten.

Ten tweede geeft openbaarmaking een signaal af dat je als organisatie transparant bent, wat kan leiden tot vertrouwen bij klanten en partners. Ze weten immers dat je niet probeert een incident onder de mat te vegen. In het geval van Centric is gebleken dat de hack te herleiden valt naar een kwetsbaarheid in Cleo-software. Voor alle andere bedrijven die deze software gebruiken, is het essentieel om te weten dat er een actief misbruik plaatsvindt. Zo kunnen ze sneller een patch installeren of tijdelijke beveiligingsmaatregelen nemen.

Een derde argument voor openheid is het doorbreken van de “stilte” die cybercriminelen vaak hopen te creëren. Wanneer bedrijven uit schaamte of angst niks communiceren, krijgen criminelen vrij spel om hun afpersingspraktijken voort te zetten. Door de aanval publiekelijk te maken, stimuleer je een bredere discussie over cybersecurity en de noodzaak van ketensamenwerking. Het kan ook bijdragen aan forensisch onderzoek van andere cybersecurity-experts, die de gebruikte methoden verder kunnen analyseren en hun bevindingen weer delen.

Centric en andere getroffen partijen staan dus voor de afweging: onderhandel je met de criminelen of weiger je elke vorm van betaling? Overheden en beveiligingsexperts benadrukken doorgaans dat betalen alleen maar nieuwe aanvallen aanmoedigt. Tegelijkertijd kan de druk om losgeld te voldoen enorm zijn als er cruciale data op het spel staat of als de bedrijfscontinuïteit in gevaar is. In het geval van Centric lijkt het erop dat de schade meevalt, maar dat neemt niet weg dat het incident het bredere gevaar illustreert.

Nog een dimensie is de menselijke factor. Hoe beter medewerkers op de hoogte zijn van mogelijke aanvalsvectoren en incidenten, hoe adequater ze reageren als er iets verdachts gebeurt. Zonder duidelijke communicatie over dreigingen of concrete aanvallen, blijft de beveiliging teveel afhankelijk van technische oplossingen. Maar cybercriminelen houden zich allang niet meer alleen bezig met het hacken van systemen; ze spelen ook in op menselijk gedrag, bijvoorbeeld via phishingmails, impersonatie of manipulatie van IT-medewerkers.

De clop-groep en hun wereldwijde activiteiten

De Clop-groep is niet zomaar een losstaand collectief, maar maakt deel uit van een grotere ontwikkeling waarin ransomwarebendes internationaal en met hoge professionaliteit te werk gaan. Wat deze groeperingen gemeen hebben, is dat ze vaak achter de schermen intensief samenwerken. Ze delen zero-daykwetsbaarheden, ontwikkelen elkaars malware door en wisselen “best practices” uit over social engineering. Dat laatste is een verzamelterm voor alle tactieken die criminelen gebruiken om mensen ertoe te bewegen handelingen uit te voeren die de weg vrijmaken voor een aanval.

Clop heeft zich gespecialiseerd in wat wel “double extortion” wordt genoemd. Daarbij versleutelen ze niet alleen de gegevens van hun slachtoffers, maar downloaden ze deze ook. Het losgeld dient dan als drukmiddel: men betaalt niet alleen voor het ontsleutelen van de bestanden, maar ook om te voorkomen dat de data op straat komt te liggen. Tot voor kort was het vrij uitzonderlijk dat bedrijven zich publiekelijk bekenden tot het betalen van losgeld. Tegenwoordig is het helaas vaak een weloverwogen keuze, waarbij de kosten van het niet-beschikbaar zijn van data en de potentiële reputatieschade worden vergeleken met de hoogte van het losgeld.

Een recente ontwikkeling is dat Clop en andere ransomwaregroepen zich steeds vaker richten op de softwareketen. Door kwetsbaarheden in populaire softwarepakketten te misbruiken, hebben ze een efficiënte manier om zich toegang te verschaffen tot talloze netwerken. De Cleo-software is daar een voorbeeld van: bij gebruik van LexiCom, VLTransfer of Harmony in combinatie met de zero-day CVE-2024-55956 zijn meerdere organisaties wereldwijd geraakt. Dankzij intensieve monitoring door cybersecuritybedrijven kwam dit lek uiteindelijk aan het licht en kon er een patch worden uitgebracht. Toch zijn er altijd organisaties die zo’n patch niet meteen toepassen, waardoor het risico op herhaalde aanvallen groot is.

Bij Cleo was ook het scenario aan de orde dat oudere versies van de software niet meer up-to-date werden gehouden. Dit gebeurt regelmatig bij bedrijven die denken dat hun test- of ontwikkelomgeving geen prioriteit heeft. Juist daar zijn criminelen naar op zoek, omdat deze omgevingen vaak minder streng beveiligd worden. Als men erin slaagt vanuit een testomgeving naar het productienetwerk te bewegen, ligt de weg naar de echte bedrijfsdata open.

Lessen voor de toekomst en het belang van samenwerking

De aanval op Centric toont aan dat je als organisatie nooit immuun bent voor cyberdreigingen, zelfs niet wanneer de interne processen goed op orde lijken. Testomgevingen of systemen van derde partijen kunnen onbedoelde achterdeurtjes vormen. Het besef dat ketensamenwerking een sleutel is tot betere beveiliging, wordt steeds urgenter. Cybercriminelen opereren immers zonder landsgrenzen, zonder bureaucratie en delen hun knowhow actief. Aan de legitieme kant moeten bedrijven, overheden en experts dat net zo doelgericht doen.

Een centrale boodschap is: transparantie redt levens, althans digitaal gezien. Door direct te communiceren over een aanval kunnen anderen op tijd reageren en zich wapenen. Een aanval op één bedrijf is immers niet zelden een voorbode voor soortgelijke pogingen bij andere organisaties. Het idee dat schaamte of angst voor reputatieschade een reden is om stil te blijven, is achterhaald. De praktische voordelen van openheid zijn te groot om te negeren, zeker nu ketenbeveiliging een collectief thema moet worden.

Bovendien is kennisdeling niet alleen van belang voor grote organisaties of overheidsinstanties. Ook kleinere ondernemingen en particulieren maken gebruik van cloudgebaseerde diensten of externe leveranciers. Door bewustwording te vergroten over de werkwijze van groeperingen als Clop, kan men zichzelf wapenen tegen deze vormen van cyberafpersing. Denk hierbij aan het actualiseren van software, het opstellen van duidelijke protocollen voor datalekmeldingen, het trainen van personeel in het herkennen van phishing en het inzetten van gespecialiseerde incidentrespons-teams of beveiligingsanalisten.

Uiteindelijk blijft de menselijke factor een belangrijke factor in zowel de aanval als de verdediging. Criminelen zoeken continu naar de zwakste schakels in een organisatie, die soms niet technisch van aard zijn, maar menselijk. Een medewerker die nietsvermoedend op een schadelijke link klikt, kan het hele netwerk openstellen voor een ransomwaregroep. Andersom kan een oplettende medewerker, die tijdig een verdachte situatie meldt, juist een ramp voorkomen.

Het incident bij Centric heeft aangetoond dat, hoe gespecialiseerd je als IT-dienstverlener ook bent, het onvermijdelijk is dat je vroeg of laat met cyberaanvallen te maken krijgt. De mate waarin de schade beperkt blijft, wordt vaak bepaald door de snelheid van detectie, de paraatheid van het incidentrespons-team en het durven delen van informatie met de buitenwereld. Daar ligt een gezamenlijke verantwoordelijkheid voor alle partijen die actief zijn in de digitale sector. Alleen door deze samenwerking en openheid kunnen we een vuist maken tegen steeds professionelere cybercriminelen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Bron: darkweb, centric

Reactie Centric

Update 26 jan 2025

Blijkt dus dat de data vooral uit openbare WOZ-gegevens bestaat. De BSN’s zijn grotendeels nep, op een paar na die nodig zijn voor de test met de koppeling met de overheid.