:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data72991831-9cd593.jpg)
Een aanval met gijzelsoftware heeft dit weekend mogelijk meer dan duizend bedrijven getroffen, in onder meer Canada, de Verenigde Staten, Duitsland en Zuid-Afrika. Hackers wisten de systemen van hun slachtoffers te versleutelen en eisen losgeld om de bestanden weer beschikbaar te maken.
Onder de slachtoffers is de Zweedse supermarktketen Coop, die zaterdag al zijn ongeveer achthonderd winkels in het land moest sluiten, nadat de kassa’s van het bedrijf door de cyberaanval waren lamgelegd. Ook het Nederlandse bedrijf VelzArt in Waardenburg, dat ict-diensten levert aan het mkb, is getroffen. Gevreesd wordt dat de omvang van de aanval de komende dagen nog flink zal toenemen: vanwege Onafhankelijkheidsdag hebben Amerikanen een lang weekend, waardoor veel bedrijven pas dinsdag weer zullen opstarten.
De gijzeling is opgeëist door de Russische cyberbende REvil, die in een blog op het dark web – een normaliter onzichtbaar deel van het internet – 70 miljoen dollar (ruim 59 miljoen euro) eist voor een „universele sleutel” waarmee alle gegijzelde bestanden „binnen een uur” weer toegankelijk zouden worden. Eerder vroegen de daders aan individuele slachtoffers 45.000 dollar losgeld, of 5 miljoen van grotere bedrijven.
De hackers kregen toegang tot de systemen van hun slachtoffers door in te breken in de tool VSA van het bedrijf Kaseya, die door IT-dienstverleners wordt gebruikt om de systemen van hun klanten op afstand te beheren. Kaseya adviseert gebruikers om VSA-servers onmiddellijk uit te schakelen. Ook het Nationaal Cyber Security Centrum in Den Haag riep daartoe op.
Dit soort ‘supply chain attacks’, waarbij software van een vertrouwde derde partij wordt misbruikt om binnen te dringen bij slachtoffers, zijn in opmars. In december kwam aan het licht dat hackers in de maanden daarvoor heimelijk hadden weten mee te liften op een update van het veelgebruikte netwerkmonitoringpakket Orion van het bedrijf SolarWinds, om in te breken bij onder meer Amerikaanse overheidsdiensten. Bij die hack waren de daders vermoedelijk uit op vertrouwelijke informatie. Het Witte Huis legde in april sancties op aan zes Russische techbedrijven die namens de Russische inlichtingendiensten bij de inbraak betrokken zouden zijn geweest.
Dit keer lijkt het de daders echter puur om geld te doen. „Dit is een van de ingrijpendste, niet door een staat uitgevoerde aanvallen die we ooit gezien hebben, en het lijkt puur gericht op geld”, zei Andrew Howard van het Zwitserse beveiligingsbedrijf Kudelski Security tegen Bloomberg.
Rusland knijpt een oogje toe
Hackersgroep REvil biedt ‘Ransomware as a Service’ (RaaS) aan, waarbij criminele klanten de versleutelsoftware huren en de afwikkeling van onderhandelingen en betaling door hun slachtoffers tegen een vergoeding uitbesteden. De groep wordt onder meer verantwoordelijk gehouden voor de ransomwareaanval op vleesverwerker JBS, die afgelopen mei zo’n 11 miljoen dollar (9,3 miljoen euro) betaalde voor het herstel van zijn systemen, nadat slachterijen in onder meer de Verenigde Staten en Australië waren stilgevallen.
Tijdens een ontmoeting met zijn ambtgenoot Vladimir Poetin, op 16 juni in Genève, kaartte de Amerikaanse president Joe Biden onder meer die aanval aan. De Verenigde Staten verwijten Rusland niet alleen zelf regelmatig cyberaanvallen uit te voeren, zoals bij pogingen om de Amerikaanse verkiezingen te beïnvloeden of bij de SolarWinds-aanval, maar ook dat het een oogje toeknijpt voor de activiteiten van criminele bendes als REvil, zolang ze geen Russische slachtoffers maken.
Biden waarschuwde in de aanloop naar die ontmoeting al dat „alle opties op tafel liggen” bij de aanpak van cyberaanvallen – waaronder actief terughacken. In mei wist de FBI al beslag te leggen op de servers en een groot deel van het betaalde losgeld van een andere Russische ransomwaregroep, DarkSide. Die had onder meer 4,4 miljoen dollar (ruim 3,6 miljoen euro) afgeperst van Colonial Pipeline, een cruciale brandstofleiding in de oostelijke Verenigde Staten, die dagen stillag door een aanval met ransomware.
:format(webp)/s3/static.nrc.nl/bvhw/files/2021/06/data72124581-9e9b81.jpg)
Na de top ontkende Poetin dat Rusland een voorname rol speelt in de ransomwareaanvallen of andere vormen van hacken. Biden liet weten met Poetin te hebben afgesproken om verder te onderhandelen over een lijst met vitale onderdelen van de Amerikaanse infrastructuur waarop nooit cyberaanvallen mogen worden gepleegd.
Biden zei zaterdag dat hij de Amerikaanse inlichtingendiensten heeft opgedragen te onderzoeken wie er achter de aanval van dit weekeinde zit. De Verenigde Staten zullen volgens hem „gepast reageren” als daaruit blijkt dat Rusland verantwoordelijk is, al zijn er volgens hem op dit moment geen aanwijzingen dat de regering in Moskou betrokken is.