Kaseya

Nederlandse vrijwilligers hadden de wereldwijde ransomware-aanval bijna voorkomen

Netwerkkabels in een computerserver. De aanval met gijzelsoftware die vrijdag begon, heeft duizenden bedrijven getroffen, ook in Nederland. De vermoedelijke daders hebben een losgeldbedrag van 70 miljoen dollar geëist. Beeld AFP
Netwerkkabels in een computerserver. De aanval met gijzelsoftware die vrijdag begon, heeft duizenden bedrijven getroffen, ook in Nederland. De vermoedelijke daders hebben een losgeldbedrag van 70 miljoen dollar geëist.Beeld AFP

Nederlandse onderzoekers hadden de kwetsbaarheid in de getroffen software van Kaseya al eerder ontdekt.

Een Nederlandse stichting heeft de wereldwijde ransomware-aanval nét niet kunnen voorkomen. Vrijwilligers van het Dutch Institute for Vulnerability Disclosure (DIVD) hadden eerder al kwetsbaarheden ontdekt in de software van de getroffen producent Kaseya en het bedrijf op de hoogte gesteld. De oplossing waaraan Kaseya werkte kwam helaas te laat, zegt het DIVD.

Hoofdonderzoeker Wietse Boonstra van DIVD had een lek ontdekt in de software van Kaseya waarmee systeembeheerders gemakkelijk toegang krijgen tot de computers in een netwerk. Zo kunnen ze bijvoorbeeld programma’s op de laptops van medewerkers vernieuwen. Het was een riskant lek, juist omdat het toegang biedt tot veel computers tegelijk.

Daders megahack vragen 70 miljoen dollar voor vrijgeven alle data

De vermoedelijke daders achter de massale cyberaanval van afgelopen weekend hebben een losgeldbedrag van 70 miljoen dollar in bitcoin geëist om de data van alle gedupeerde bedrijven in een keer vrij te geven. Dat hebben ze meegedeeld op hun site Happy Blog op het dark web, waar eerder ook berichten van de hackersgroep op zijn verschenen.

“Als iemand wil onderhandelen over een universele decoderingssleutel - onze prijs is 70.000.000 dollar in bitcoin en we zullen openbaar een sleutel plaatsen die de documenten van alle slachtoffers ontsleutelt, zodat iedereen binnen een uur van de aanval hersteld kan zijn”, zo valt te lezen in het bericht dat afkomstig lijkt van REvil, een aan Rusland gelinkte hackersgroep.

De aanval met gijzelsoftware die vrijdag begon, heeft duizenden bedrijven getroffen, ook in Nederland. In Zweden moest supermarktketen Coop zaterdag bijna al zijn achthonderd winkels in het land tijdelijk sluiten, omdat de hack de kassa’s lam had gelegd.

De gijzelsoftware werd verspreid via zogeheten VSA-software van de Amerikaanse softwareleverancier Kaseya. VSA wordt veel gebruikt door IT-dienstverleners, die dit programma gebruiken om systemen van hun klanten op afstand te onderhouden en te beheren. Hierdoor hadden de hackers een gigantisch bereik. (ANP)

Boonstra meldde de kwetsbaarheid in vertrouwen aan Kaseya. Sindsdien hebben beide partijen samengewerkt en overlegd over mogelijke oplossingen voor het probleem, schrijft Boonstra in een blog. “Helaas werden we in de eindsprint verslagen door REvil.”

Steeds meer structurele kwetsbaarheden

Vermoedelijk zit deze Russische hackersgroep achter de aanval. Zij konden de kwetsbaarheden uitbuiten voordat klanten van Kaseya hun software konden beveiligen of uitzetten. Het lukte de hackers om bij honderden bedrijven de gegevens te versleutelen en losgeld te eisen. Supermarktketen Coop in Zweden moest de deuren sluiten.

DIVD werd in 2019 opgericht en heeft volgens het jaarverslag twee doelstellingen. “Als eerste het veiliger maken van de digitale wereld door het doen van onderzoek naar kwetsbaarheden in informatiesystemen, gevonden kwetsbaarheden melden bij betrokkenen en hulp bieden bij het oplossen ervan.” Daarnaast begeleidt de stichting onderzoekers en wil het kennis verspreiden.

De club technisch onderlegde vrijwilligers onderzoekt momenteel kwetsbaarheden in software voor systeembeheerders. “We richten ons op deze producten omdat we een trend zagen waarin steeds meer van dit soort producten die onze netwerken veilig houden, structurele kwetsbaarheden laten zien”, schrijft Boonstra.

Meer beveiligingsonderzoek naar eigen product

De stichting heeft apparatuur om computers die op het internet zijn aangesloten te scannen. Hiermee probeert het bij een ernstig probleem op afstand te ontdekken welke organisaties kwetsbaar zijn en de beheerders te waarschuwen. Dat heeft het afgelopen weekend ook gedaan. Eerder dit jaar werden kwetsbaarheden ontdekt in de e-mailservers van Microsoft. Toen waarschuwde DIVD 40.000 organisaties.

Kaseya is een privaat bedrijf, opgericht in 2000 en gevestigd in tien landen. De ontdekking door DIVD roept de vraag op of Kaseya niet meer beveiligingsonderzoek had moeten doen naar zijn eigen product. Gezien het nationale belang van de digitale infrastructuur is een andere vraag waarom vrijwilligers in hun weekend de verantwoordelijkheid op zich moeten nemen om bedrijven en andere organisaties te redden tijdens een wereldwijde cyberaanval.

Lees ook:

Nederlandse bedrijven getroffen door wereldwijde hack. ‘Echte schade pas komende weken duidelijk’

Ook Nederlandse bedrijven zijn betrokken bij een grote gijzelsoftware-aanval, melden experts. “De criminelen hebben niet alleen de sleutel naar één appartement, maar de hele sleutelbos van alle appartementen in een complex.”

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden