Zaterdag 24/07/2021

AchtergrondCybersecurity

Zelfs de supermarkt is doelwit van Russische hackers: ‘Een van de ingrijpendste aanvallen ooit’

Tienduizenden computers over de hele wereld zijn getroffen door de kwaadaardige software.  Beeld ANP
Tienduizenden computers over de hele wereld zijn getroffen door de kwaadaardige software.Beeld ANP

De Russische groep REvil hackte een softwarebedrijf en kwam zo afgelopen weekend wereldwijd bij duizend bedrijven binnen. Rusland weigert iets te doen, Biden dreigt met actie. Ondertussen investeren bedrijven nog steeds veel te weinig in zelfs de meeste basale veiligheidsmaatregelen.

Er valt niet meer aan te ontkomen: ook gijzelsoftware is politiek geworden. De hack van het Amerikaanse softwarebedrijf Kaseya afgelopen weekend door het Russische REvil is de zoveelste in een lange rij waarbij de effecten van gijzelsoftware op het openbare leven merkbaar zijn. In Zweden werd supermarktketen Coop gedwongen achthonderd winkels te sluiten.

Het is vooral de industriële wijze waarop de criminele groeperingen toeslaan en de pertinente weigering van het Kremlin om iets aan de aanvallen vanuit Rusland te doen die het onderwerp almaar hoger op de politieke agenda duwen. Als blijkt dat de Russische regering er iets mee te maken heeft, waarschuwde de Amerikaanse president Biden, zullen de Verenigde Staten dat niet ongestraft laten. “Ik heb Poetin gezegd dat we zullen reageren.”

REvil sloeg toe op een verrassende manier. Ransomwaregroepen proberen gewoonlijk via spamcampagnes of phishing bij bedrijven binnen te komen om ze vervolgens over te nemen en te gijzelen. REvil gebruikte een veel geavanceerdere methode. De groepering wist met hulp van een onontdekte kwetsbaarheid het softwarebedrijf Kaseya te hacken.

ICT-dienstverleners gebruiken software van Kaseya om op afstand klanten te helpen. Door die software binnen te dringen raakte REvil bij meer dan duizend bedrijven wereldwijd binnen. Het is een aanvalsmethode die ook staatshackers gebruiken. “Dit is een van de ingrijpendste niet door een staat uitgevoerde aanvallen die we ooit hebben gezien en het lijkt puur bedoeld om geld afhandig te maken”, zei Andrew Howard van het Zwitserse cybersecuritybedrijf Kudelski Security tegen Bloomberg.

REvil legde eerder het vleesverwerkingsbedrijf JBS plat, waardoor een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie stil kwam te liggen. Het bedrijf betaalde 11 miljoen dollar losgeld. Ook een Amerikaanse oliepijpleiding moest worden stilgelegd na een aanval met gijzelsoftware. En ook bij onze noorderburen nemen de effecten toe: de kaasschappen in Albert Heijn bleven al eens een week leeg, het Nederlandse keukenbedrijf De Mandemakers Groep (DMG) kampt nog met de naweeën van een aanval.

Extra vaart

“De digitale dreiging blijft toenemen”, schreef het Nederlandse Nationaal Cyber Security Center (NCSC) in juni. Door corona heeft de digitalisering extra vaart gekregen. Bedrijven zien vooral de gemakken en investeren nog steeds veel te weinig in zelfs de meeste basale maatregelen.

“Waar zit de weerstand?”, vroeg Hester Somsen, directeur cybersecurity van de Nederlandse Nationaal Coördinator Terrorismebestrijding en Veiligheid, zich af in de podcast Cyberhelden. “Waarom zou je de dubbele verificatie niet aanzetten? Het is de simpelste manier om jezelf te beschermen. We doen het blijkbaar niet. We moeten de discussie naar een hoger niveau tillen.” Volgens het NCSC zijn de aanvallen “zo verstorend” dat ze langdurig impact hebben op de getroffen organisaties. “Cybercriminelen zijn vaak net zo vaardig als staatsactoren en hebben er vaak ook nauwe banden mee.”

'Als ze de Russische wet niet overtreden, is er geen enkele reden om ze te vervolgen in Rusland', zei president Poetin over de hackers in een interview met NBC in 2018. Beeld AP
'Als ze de Russische wet niet overtreden, is er geen enkele reden om ze te vervolgen in Rusland', zei president Poetin over de hackers in een interview met NBC in 2018.Beeld AP

Tot nu toe ontbreekt een passend antwoord op de aanvalsgolf. Niet betalen, luidt het mantra van de Nederlandse overheid, in de naïeve hoop dat de criminelen dan vanzelf weer verdwijnen. Maar elk bedrijf dat platligt, weet hoe misplaatst dat advies is. Geen bedrijf kiest voor een faillisement om een groter doel te dienen. Experts schatten dat rond de 80 procent van de getroffen organisaties losgeld betaalt. Ook DMG voelde zich volgens goed ingevoerde bronnen genoodzaakt zo’n half miljoen euro over te maken. Het is een lucratieve business: in digitale criminaliteit gaat inmiddels meer geld om dan in de internationale drugshandel.

De betalingen in bitcoins eindigen veelal in het Oosten. Van de 25 grootste ransomwaregroepen zijn er ongeveer 15 gevestigd in Rusland, schatten cybersecurityexperts. Ze vallen alleen westerse doelen aan. Domeinen die eindigen op .ru of bedrijven die een cyrillisch toetsenbord hebben geïnstalleerd zijn veilig. Grote Russische hackers zoals Bogatsjov en Jakubets, die voor tientallen miljoenen euro’s stalen bij westerse bedrijven, leiden een luxeleven in het land. Inclusief mooie jachten en Lamborghini’s.

Geen prioriteit

“Als ze de Russische wet niet overtreden, is er geen enkele reden om ze te vervolgen in Rusland”, zei de Russische president Poetin in een interview met NBC in 2018. En dus belanden de rechtshulpverzoeken uit het Westen aan Moskou onderaan in de stapel daar. Geen prioriteit. “Maar werd Nederland vorige eeuw niet hetzelfde verweten bij de drugsexport? Omdat Nederland er zelf weinig last van had, had die aanpak nauwelijks prioriteit”, zegt een oud-leidinggevende van een opsporingsdienst.

Eén lichtpunt: de technische kennis in Nederland is uniek. Onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) vonden de kwetsbaarheid in Kaseya al eerder en meldden die aan het Amerikaanse bedrijf. Kaseya was alleen te traag met het dichten van het lek. De Nederlandse onderzoekers hebben daarna actief het internet gescand en kwetsbare organisaties geïnformeerd. De schade van de hack is daardoor in Nederland minimaal.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234