Nederlandse bedrijven slachtoffer van geavanceerde gijzelsoftware
Verschillende Nederlandse bedrijven zijn getroffen door geavanceerde gijzelsoftware in 2019. Dat blijkt uit een vertrouwelijk rapport van het Nationaal Cyber Security Centrum.
Om welke bedrijven het gaat, is onbekend, evenals het aantal getroffen Nederlandse bedrijven. Wereldwijd gaat het om minimaal 1800 getroffen bedrijven en daarvan is het aantal Nederlandse bedrijven een relatief klein deel, schrijft het NCSC. Maar de gevolgen kunnen groot zijn.
Waarschijnlijk is het daadwerkelijk aantal getroffen bedrijven veel groter dan de cijfers aangeven, schrijft het NCSC ook.
Kritieke infrastructuur
De aanvallers richten zich op grote bedrijven, bijvoorbeeld in de auto-industrie, constructie en chemie, maar ook op ziekenhuizen, winkelketens en entertainmentbedrijven. Het gaat doorgaans om bedrijven met miljoenen- of miljardenomzetten.
Ook Nederlandse takken van multinationals zijn geraakt, waaronder die van een Amerikaans chemiebedrijf. Dat bedrijf is bovendien een belangrijke toeleverancier van kritieke infrastructuur in Nederland. Daaronder vallen onder meer de drinkwatervoorziening, internettoegang en energie.
"We hebben dit onderzoek gedaan naar aanleiding van verstorende ransomware-aanvallen in het buitenland", bevestigt een woordvoerder van het NCSC. De aanvalscampagne begon vermoedelijk in juli vorig jaar.
Het NCSC vermoedt dat de aanvallers toegang hadden tot zogenoemde zero day-kwetsbaarheden. Dat zijn krachtige digitale wapens, waar nog geen goede oplossing voor bestaat en die daarom zeer effectief zijn.
"Dat geeft aan dat het een professionele criminele organisatie is", zegt cybersecurity-expert Frank Groenewegen van Fox-IT. "Qua niveau zijn ze vergelijkbaar met drugscriminelen die over eigen raketwerpers beschikken. Overigens hebben ze die digitale raketwerpers in veel gevallen niet nodig, omdat de beveiliging van veel bedrijven zo slecht is."
Wat is gijzelsoftware?
Gijzelsoftware, ook wel 'ransomware' genoemd, is software die bestanden op slot zet. Pas na betaling worden de bestanden weer toegankelijk gemaakt. Vaak zit de ransomware zo goed in elkaar dat de bestanden daadwerkelijk niet toegankelijk zijn, totdat er wordt betaald.
Het NCSC acht het 'niet onwaarschijnlijk' dat de overheid en de kritieke infrastructuur uiteindelijk last krijgen van de bewuste ransomware-aanval. In andere landen zijn die sectoren al doelwit geweest, maar de overheid en de kritieke infrastructuur zouden ook last kunnen krijgen van ransomware bij toeleveranciers.
Vernuftig
De aanvallers gaan vernuftig te werk en zitten soms al maanden in het netwerk totdat ze worden opgemerkt. In sommige gevallen lukte het bedrijven niet om de aanvallers op te sporen, zelfs niet nadat ze wisten dat ze waren gehackt.
In een onbekend aantal gevallen kon het NCSC een getroffen organisatie op tijd inlichten; die kon dan ingrijpen voordat de ransomware werd geactiveerd. In andere gevallen was het te laat en zagen slachtoffers zich genoodzaakt te betalen. Daarbij ging het soms om miljoenen euro's. Ook in Nederland zijn dat soort bedragen betaald.
Als bedrijven niet betalen, kan de financiële schade oplopen. Bedrijven liggen stil en kunnen niets produceren, terwijl de rekeningen blijven binnenkomen.
Welke ransomware?
In het onderzoek van het NCSC komen drie ransomware-soorten voorbij, die dezelfde digitale infrastructuur gebruiken. Het gaat om Lockergoga, Ryuk en MegaCortex. Dat zijn veelvoorkomende vormen van ransomware.
De vrees bestaat dat de aanvallers zich op meer dan alleen de verspreiding van ransomware richten. Bij sommige getroffen bedrijven werd veel data weggesluisd; het zou daarbij kunnen gaan om bedrijfsspionage of andere vormen van spionage. Ook inbreken om vervolgens sabotage te plegen, is mogelijk.
Toegang doorverkocht
Wie precies achter de aanvallen zit, is onbekend. De auteurs van het vertrouwelijke rapport vermoeden dat Russische criminele groeperingen achter de aanvallen zitten, maar tekenen ook aan dat het inzicht in die groepen beperkt is.
Het NCSC vermoedt dat het om meerdere criminele groeperingen gaat. Eén groep breekt dan in bij een bedrijf of organisatie en dringt door in het netwerk. Die 'toegang' wordt vervolgens kant-en-klaar doorverkocht aan anderen, die vervolgens ransomware kunnen verspreiden of spionage kunnen plegen.
"Dat zie je vaker, want het kraken van een netwerk en het vervolgens verspreiden van ransomware zijn echt twee verschillende takken van sport", zegt beveiligingsonderzoeker John Fokker van McAfee.
Wie het ook zijn, de onderzoekers vermoeden dat de aanvallers er voorlopig niet mee zullen ophouden. Het heeft er alle schijn van dat de aanvallen zeer winstgevend zijn voor de criminelen.
Volgens het NCSC moeten bedrijven dan ook alerter zijn. "Bedrijven nemen nog steeds niet alle basismaatregelen", laat een woordvoerder weten via e-mail. "Draai updates, zorg dat je personeel zich bewust is van de digitale dreigingen en maak back-ups."
Bron: ncsc, security, nos, bleepingcomputer, crimesite
Schrijver: BGr