Nederlandse bedrijven getroffen door wereldwijde hack. ‘Echte schade pas komende weken duidelijk’

Sinds vrijdagavond heeft een handvol Nederlandse bedrijven zich gemeld bij cybersecuritybedrijf Northwave. Het gaat om grote bedrijven – en hun klanten – die slachtoffer zijn van een Russische hackersgroep, die wereldwijd heeft toegeslagen.

Bij zo’n aanval met gijzelsoftware worden computersystemen door criminelen platgelegd totdat het getroffen bedrijf losgeld betaalt. In 17 verschillende landen zijn minstens duizend bedrijven getroffen, meldt beveiligingsbedrijf Huntress Labs.

Mark Loman, expert op het gebied van gijzelsoftware, weet dat er twee bedrijven in Nederland zijn die ook aangevallen zijn, maar waarbij de gijzelpoging is voorkomen. “Ze hadden goede anti-gijzelsoftware draaien”, zegt hij. Bij ICT-bedrijf VelzArt in Waardenburg ging het wel mis, het bedrijf heeft honderden klanten. Die zijn allemaal gewaarschuwd dat hun computers geïnfecteerd kunnen zijn.

De in Nederland getroffen bedrijven maken gebruik van een specifiek pakket van Kaseya - een bedrijf dat ICT-beheersoftware maakt - waarmee IT-beheerbedrijven op afstand de computersystemen van hun klanten kunnen bedienen. Ze kunnen bijvoorbeeld op afstand nieuwe software op werkplekken en servers installeren.

De hackersgroep heeft er voor gezorgd dat de klanten van Kaseya – de IT-beheerders – de opdracht kregen om een automatische update door te voeren die schadelijk was, maar die niet als zodanig werd herkend. De update ging ook direct naar al hun klanten – per IT-beheerder vaak tientallen of honderden – die zulke updates automatisch uitvoeren.

Schade pas in komende weken bekend

Het is een doortrapte hack, zegt Arwi van der Sluijs van beveiligingsbedrijf NFIR. Ook de schaalgrootte is bijzonder, vult Pim Takkenberg, directeur van Northwave aan. Bij alle bedrijven waar de schadelijke update is uitgevoerd kunnen de hackers nu via een digitaal achterdeurtje naar binnen komen. “De criminelen hebben daarmee niet alleen de sleutel naar één appartement, maar de hele sleutelbos van alle appartementen in een complex”, probeert Takkenberg de situatie te duiden.

De beveiligingsexperts verwachten dat de echte schade van deze wereldwijde hack pas in de komende weken of zelfs maanden bekend wordt. De schade zal in Nederland – in vergelijking met landen als Amerika – waarschijnlijk meevallen, omdat de systemen van Kaseya hier niet zo populair zijn. Ze zijn alleen betaalbaar voor hele grote bedrijven die hun ict-beheer willen uitbesteden.

Loman, Van der Sluijs en Takkenberg verwachten dat de omvang van de wereldwijde hack groter zal zijn dan de eerste berichten doen vermoeden. “Er zijn wereldwijd duizend bedrijven getroffen, maar daar zitten de Nederlandse bedrijven die zich nu melden nog niet bij", zegt van der Sluijs. Bovendien kan het volgens hem best zijn dat de hackers niet alle bedrijven waar ze via de achterdeur naar binnen zijn gekomen, direct plat leggen. “Duizend bedrijven in één keer op slot zetten en onderhandelen over losgeld is een hoop werk. Het kan heel goed dat ze nu een deel doen en bij de rest later pas toeslaan.”

Takkenberg onderhandelt namens de in Nederland getroffen bedrijven met de Russische hackers, die om losgeld vragen. Vanwege zijn beroepsgeheim kan hij de namen van de getroffen bedrijven niet noemen. Wel laat hij weten dat dit soort cybercriminelen altijd tussen de 0,4 en 2 procent van de jaaromzet in cryptomunten (bijvoorbeeld bitcoin) eisen.

Opvallend bij deze wereldwijde hack is dat dat percentage een stuk lager ligt, zegt Takkenberg. “De bedrijven die zich gisteren en vandaag hebben gemeld, maken tientallen miljoenen euro's omzet per jaar. Dat de criminelen minder geld eisen dan normaal, heeft mogelijk te maken met dat ze geen of weinig gevoelige data hebben gevonden.”

Lege kaasschappen

De experts zien dat de hackers zich steeds vaker richten op grote bedrijven met een belangrijke rol in distributie- of logistieke ketens. Die kun je makkelijker onder druk zetten en ze hebben genoeg geld om het geëiste losgeld te betalen. Zo waren de kaasschappen bij de Albert Heijn rond Pasen een tijdje leeg door een hack bij logistiek bedrijf Bakker. Ook de Universiteit van Leiden en de gemeente Hof van Twente kregen te maken met gijzelsoftware. Bij die laatste eisten de hackers 750 duizend euro aan bitcoin voor het terugkrijgen van gegevens.

Exacte cijfers over het aantal getroffen bedrijven in Nederland zijn er niet. Dat komt omdat het aan bedrijven zelf is om wel of niet bekend te maken dat zij zijn aangevallen. De Nationaal Coördinator Terrorismebestrijding en Veiligheid laat via een woordvoerder weten dat gehackte bedrijven zich in vertrouwelijkheid meldden. Het NCTV doet daar verder geen uitspraken over. De wereldwijde hack treft meerdere landen, waaronder Zuid-Afrika, het Verenigd Koninkrijk, Canada, Argentinië, Mexico, Zweden en Spanje.

Lees ook:

Grote hackaanval van aan Rusland gelieerde hackersgroep treft 200 bedrijven.

Een aan Rusland gelinkte hackersgroep heeft met een grootschalige cyberaanval, die nog altijd aan de gang is, ongeveer tweehonderd bedrijven getroffen.