Donderdag 29/09/2022

AchtergrondCybercriminaliteit

Hoe hackers bananen en kiwi’s tegenhielden in de Antwerpse haven: ‘Er is een heel nieuw crimineel ecosysteem ontstaan’

Dozen bananen worden op de Belgian New Fruit Wharf klaargezet voor verder transport. De kaaien worden uitgebaat door Sea-Invest, dat getroffen werd door een grote cyberaanval. Beeld ID Joris Herregods
Dozen bananen worden op de Belgian New Fruit Wharf klaargezet voor verder transport. De kaaien worden uitgebaat door Sea-Invest, dat getroffen werd door een grote cyberaanval.Beeld ID Joris Herregods

Hackers hebben de voorbije dagen ook in België systemen van havenbedrijven platgelegd. Bij het onderzoek valt alvast de naam van BlackCat, een berucht ransomware-collectief. ‘Veel privébedrijven zitten nog met de mindset ‘het zal ons wel niet overkomen’.’

Yannick Verberckmoes

Op de kaaien in de haven van Antwerpen, waar het exotisch fruit binnenkomt, nemen dokwerkers normaal een scanner bij de hand om ladingen te registreren. Maar omdat de computersystemen platliggen, moeten ze nu alles opschrijven met pen en papier. Dit weekend lag het werk op de kaaien van Belgian New Fruit Wharf volledig stil. Nu gaat het door, maar verloopt alles veel trager en is er meer volk nodig om het werk gedaan te krijgen. De miserie is het gevolg van een grootscheepse cyberaanval op Sea-Invest.

Dat bedrijf uit Gent baat de fruitkaaien van Belgian New Fruit Wharf uit. Sinds vrijdag kampt Sea-Invest, een van de grootste havenbedrijven ter wereld, overal met computerproblemen. Het bedrijf was nog maar net bezig zijn systemen weer op gang te krijgen toen ook de Duitse groep Oiltanking melding maakte van een cyberaanval. In Duitsland vielen de systemen van Oiltanking en zusterbedrijf Mabanaft uit, waardoor tankstations zonder voorraad vielen.

Later bleek dat ook de olieterminals van Oiltanking in Belgische en Nederlandse havens waren geïmpacteerd. Oiltanking laat weten dat het met de politie en onafhankelijke computerexperts samenwerkt om alles te onderzoeken en dat de terminals openblijven. Volgens het Centrum voor Cybersecurity zijn de twee aanvallen niet gelinkt aan elkaar.

Cyberversum

Andermaal toont dit voorval aan hoe kwetsbaar bedrijven zijn voor aanslagen vanuit het cyberversum. Als hackers erin slagen grote distributeurs lam te leggen, heeft dat ook gevolgen voor de rest van de economie. Dat zijn beveiligingsexperts een ‘supply chain attack’ gaan noemen: schakel één belangrijke speler uit en andere bedrijven kunnen ook niet voortwerken.

Toen hackers vorig jaar de Colonial Pipeline in de Verenigde Staten lamlegden, had de hele Amerikaanse oostkust een week lang brandstofproblemen. “Hackers kiezen graag oliebedrijven omdat ze weten dat er daar veel geld zit”, zegt cryptograaf Bart Preneel (KU Leuven). “Als zo’n bedrijf stilvalt, kost dat fortuinen.”

Cyberaanvallen zijn de voorbije jaren gemeengoed geworden onder Belgische bedrijven. Volgens een nieuwe studie van de Antwerpse verzekeringsmakelaar Vanbreda Risk & Benefits hebben ze almaar zwaardere gevolgen. Vorig jaar had Vanbreda voor het eerst meerdere schadegevallen van meer dan 1 miljoen euro.

De ondernemerswereld begint zich stilaan echt bewust te worden van het gevaar, ziet Preneel. Bij kritieke infrastructuur, zoals kerncentrales, is er altijd veel aandacht geweest voor veiligheid. Maar veel privébedrijven zitten nog met de mindset ‘het zal ons wel niet overkomen’. “Chemie- en oliebedrijven hebben veel van hun processen geautomatiseerd”, zegt Preneel. “Maar studies hebben al aangetoond dat die bedrijven gemiddeld te weinig besteden aan cyberveiligheid.”

Omdat de risico’s nog laag zijn en de winst mogelijk torenhoog hebben veel criminele organisaties zich op het cyberdomein toegelegd. Hackers zijn zich volgens Preneel almaar meer gaan specialiseren. Sommige organisaties zoeken naar zwakheden in de systemen van bedrijven. Andere maken dan weer tools om via die zwakke punten in de IT-infrastructuur binnen te dringen.

“Die organisaties bieden dan hun diensten aan op het darkweb of via andere kanalen”, zegt Preneel. “Eigenlijk is er een nieuw crimineel ecosysteem ontstaan, waarbij organisaties zich dus op verschillende aspecten toeleggen. Op die manier is het mogelijk geworden om heel complexe aanvallen uit te voeren.”

Een beruchte groep die online haar hackingdiensten aanbiedt, is BlackCat. Het Duitse cyberveiligheidsagentschap BSI gelooft dat die groep achter de aanval op Oiltanking zit. De Duitse krant Handelsblatt kreeg een intern rapport te zien waarin dat staat.

Ransomware

BlackCat - met een zwarte kat als herkenningsteken - heeft met aanvallen met ransomware een zakenmodel uitgebouwd. De groep biedt aanvallen met gijzelsoftware aan als een dienst, waarop investeerders kunnen intekenen. Vervolgens dringen de hackers binnen in de computersystemen van een bedrijf. Als het bedrijf uiteindelijk losgeld betaalt om de systemen ‘vrij te laten’, verdelen de hackers de winst.

Tachtig tot 90 procent van het losgeld zouden de hackers uiteindelijk naar hun partners doorsluizen, zo blijkt uit een onderzoek van Unit 42, een platform dat cyberdreiging analyseert. De betalingen van het losgeld gebeuren met de cryptomunten bitcoin en monero. “Die betalingen kun je dan niet meer tegenhouden”, zegt Preneel. “BlackCat is ondertussen wel bekend. Maar er zijn nog spelers die ransomwarediensten aanbieden.”

Achter de daders aan gaan is in ons land moeilijk, omdat politiediensten nog altijd te weinig computerspeurders hebben. “Anderzijds zet Europol er wel steeds meer op in”, zegt Preneel. “Uiteindelijk heb je meer internationale samenwerking nodig om deze bendes te bestrijden.”

Het parket van Antwerpen bekijkt alvast of het met Duitse speurders kan samenwerken om deze zaak op te lossen. “We zijn samen met de Computer Crime Unit van de federale politie een onderzoek gestart”, zegt parketwoordvoerder Kristof Aerts. “Verder kan ik er geen commentaar over geven.”

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234