Winkelmand

Geen producten in de winkelwagen.

Hoe een nieuwe ransomware-aanval het vertrouwen in it-dienstverleners ondermijnt

Een wereldwijde aanval met gijzelsoftware raakt ook Nederlandse bedrijven. De afpersers liften mee op het vertrouwen van bedrijven in it-dienstverleners.

Malware
Foto: Getty Images

Hackers drongen vorige week binnen bij het Amerikaanse it-bedrijf Kaseya, maker van software waarmee it-bedrijven (Managed Service Providers) computersystemen van klanten op afstand beheren. Via die – door gebruikers vertrouwde – achterdeur werden wereldwijd duizenden bedrijven besmet met gijzelsoftware.

Een van de slachtoffers is het Zweedse supermarkt Coop, die vanwege de hack afgelopen weekend honderden vestigingen moest sluiten omdat de kassa’s niet meer werkten. De aanval wordt opgeëist door hackers-collectief REvil (Ransomware Evil), dat ‘miljoenen’ systemen claimt te hebben geïnfecteerd.

In Nederland gaat het onder meer om klanten van it-bedrijf VelzArt in Waardenburg. Volgens VelzArt is de bron van de malware ‘sinds vrijdagavond al niet meer actief’. Ook it-dienstverlener Hoppenbrouwer in Uden laat weten te zijn gehackt. Van nog eens drie Nederlandse aanbieders die ook Kaseya-software gebruiken is nog niet bekend of er ook bij hun klanten zijn gehackt.

De overheid roept Nederlandse bedrijven die Kaseya-software gebruiken op om die onmiddellijk uit te zetten.

Losgeld

De hackers schotelen geïnfecteerde bedrijven een bericht voor waarin 44.999 dollar aan een losgeld wordt geëist in Monero (xmr), een lastig te traceren cryptomunt die de laatste tijd steeds vaker de plek inneemt van bitcoin. Voor het vrijgegeven van alle gegijzelde bestanden eisen de hackers 70 miljoen dollar losgeld (in bitcoin).

De aanval past volgens cybersecuritybedrijf Sophos in een toename van het aantal inbraken via apparatuur en software die de toegang tot bedrijfsnetwerken regelen.

Zo lift REvil mee op het vertrouwen in Kaseya-software, die vanwege vereiste uitzonderingen niet in de gaten wordt gehouden door de antivirussoftware van een bedrijf. Volgens ethical (‘goede’) hacker Kyle Hanslovan gebruikten de aanvallers die sluiproute om Windows Defender uit te schakelen bij het installeren van hun malware.

Voor bedrijven die zich willen beschermen tegen dit soort aanvallen zijn voor de hand liggende adviezen als ‘zorg dat je software up to date is’ minder effectief. Als leveranciers zoals Kaseya een aanval niet tijdig opmerken, rest er voor bedrijven weinig anders dan die software volledig uit te zetten.

Al eerder gezien

Nederlandse ethische hackers van de vrijwilligersgroep Dutch Institute for Vulnerability Disclosure (DIVDhadden de kwetsbaarheid bij Kaseya eerder al ontdekt en gemeld, schrijft Vrij Nederland. Maar terwijl er nog aan een oplossing (patch) werd gewerkt, sloegen afpersers wereldwijd toe.

Ransomware-as-a-Service

Voor gehackte bedrijven geldt het advies om geen losgeld te betalen, maar daar wordt in de praktijk lang niet altijd gehoor aan gegeven. Zo werd volgens beveiligingsbedrijf Emsisoft vorig jaar voor zeker 18 miljard dollar betaald aan ransomware-hackers.

Dat bedrag wordt geïnd door een criminele industrie die qua professionaliteit en aanpak weinig onderdoet voor gangbare softwarebedrijven. De werkwijze van criminele collectieven zoals REvil worden dan ook omschreven als Ransomeware-as-a-Service.

Daarbij wordt kwaadaardige software verspreid onder criminelen (affiliates) die bedrijven aanvallen, in ruil voor een percentage van de inkomsten. Op die manier loopt de ontwikkelaar van malware minder risico om tegen de lamp te lopen, terwijl affiliates zelf geen malware hoeven te ontwikkelen.

De malware van REvil bevat code die van iedere affiliate bijhoudt hoeveel bedrijven die infecteert, ontdekte McAfee eerder. Hackers die te weinig aanvallen uitvoeren, worden uit het criminele netwerk gegooid.

Trump

REvil dook vorig jaar op met het afpersen van advocatenkantoor Grubman Shire Meiselas & Sacks, waarna gedreigd werd met het publiceren van documenten van beroemde cliënten waaronder Donald Trump en Lady Gaga.

Dit jaar claimde REvil cyberaanvallen op het Amerikaanse energiebedrijf Invenergy en de Braziliaanse vleesverwerker JBS. In april werden bij een toeleverancier van Apple plannen ontvreemd voor nieuwe laptops en een nieuwe Apple Watch.

Waar de digitale dieven hierna zullen toeslaan is met geen mogelijkheid te zeggen. Wel dat het voor bedrijven geen slecht idee is om hun digitale achterdeuren naar externe dienstverleners kritisch onder de loep te nemen.