Beheer

Security
Nederland gehackt

Nederland meegenomen in Kaseya-ransomwaregolf

Massale ransomware-aanval via beheersoftware treft ook Nederlandse bedrijven.

4 juli 2021

Massale ransomware-aanval via beheersoftware treft ook Nederlandse bedrijven.

De aan Rusland gelinkte hackersgroep die een grote cyberaanval heeft uitgevoerd, maakt ook in Nederland slachtoffers. Een cyberbeveiliger laat weten dat zeker één Nederlands bedrijf zich heeft gemeld wegens problemen met de gijzelsoftware die via de Amerikaanse softwareleverancier Kaseya is verspreid. Ook systemen van het Waardenburgse IT-bedrijf VelzArt zijn geïnfecteerd, staat op de bedrijfswebsite.

In de nacht van vrijdag op zaterdag (Nederlandse tijd) werd bekend dat de hackersgroep die bekendstaat als REvil ransomware heeft weten te verspreiden via beheersoftware VSA van leverancier Kaseya. De cybercriminelen hebben zo via Kaseya niet alleen de klanten van dat bedrijf bereikt maar ook de klanten van die klanten. Dit betreft voor een deel kleinere en middelgrote bedrijven die zelf geen of nauwelijks IT-kunde in huis hebben.

Gigantisch bereik

IT-dienstverleners gebruiken de VSA-software van Kaseya om systemen van hun klanten op afstand te onderhouden en te beheren. De afpersers achter de grote aanval van dit weekend hebben een gigantisch bereik weten te behalen door juist in die beheersoftware een achterdeur in te bouwen. Eerder is een dergelijk domino-effect al gebleken bij de beruchte SolarWinds-hackaanval.

IT-beveiliger Northwave Nederland bevestigt nu dat zeker één Nederlands bedrijf om hulp heeft gevraagd wegens de aanval. Om welk bedrijf het gaat en welke omvang die onderneming heeft, kan algemeen directeur Pim Takkenberg niet zeggen. Wel verwacht hij dat gaandeweg, inclusief maandag, meer bedrijven zullen ontdekken dat ze zijn gehackt.

Takkenberg zegt dat de verantwoordelijke ransomwarebende REvil beweert honderden terabytes van ruim honderd bedrijven te hebben buitgemaakt. Als extra drukmiddel, naast ransomware, dreigen ze die gegevens openbaar te maken. Of er daadwerkelijk zoveel data zijn gestolen, is moeilijk in te schatten.

Hele nacht doorwerken

VelzArt, dat vooral MKB-bedrijven helpt met IT-beheer, meldt via een blogpost op de eigen website dat besmette systemen voor grote problemen bij zijn klanten zorgt. Medewerkers hebben de hele nacht doorgewerkt om problemen zo veel mogelijk te verhelpen. Hoe veel klanten zijn getroffen, is niet duidelijk. VelzArt was in de weekenduren niet direct telefonisch bereikbaar voor commentaar. Technisch dienstverlener Hoppenbrouwers uit Udenhout laat aan het Brabants Dagblad - en in een korte blogpost - weten te zijn gehackt.

"De aanval is binnengekomen via onze Kaseya software. Er is geen menselijke fout gemaakt door onze collega’s. De consequenties van deze aanval zijn nog niet bekend", verklaart Hoppenbrouwers op de eigen website. "Samen met ons cyber security team doen we er alles aan om te achterhalen wat de impact van deze aanval is en om het zo snel mogelijk op te lossen. Uit voorzorg worden alle systemen gecontroleerd, ook op onze projectlocaties. Zover we nu kunnen beoordelen, heeft deze aanval geen consequenties voor onze klanten."

Dave Maasland, directeur van de Nederlandse divisie van IT-beveiligingsbedrijf ESET, zegt dat dit voor IT-dienstverleners een van de ergste nachtmerries is. Hij wijst erop dat Kaseya in de top vijf staat van aanbieders van software voor het beheren van IT-systemen. "Het gaat om honderden IT-bedrijven die dit in Nederland gebruiken. Dit is de gereedschapskist voor IT-dienstverleners, dus het is alsof ze nu ontdekken dat hun schroevendraaier kapot is en een gebouw op instorten staat."

Meer dan direct gijzelen

Algemeen directeur Inge Bryan van Fox-It wijst erop dat aanvallen via veelgebruikte software erg verraderlijk zijn. "Dit noemen we supply chain attacks. Het duurt langer voordat je dit type aanval ontdekt. Maar vooral, als je erin zit heb je meteen een heel grote uitstraling. Dan zit je bij alle klanten." Cybercriminelen kunnen de ingang die ze hebben gevonden bovendien voor meer dan alleen gijzeling van data en systemen gebruiken, legt ze uit. Zo kunnen ze data stelen, waarmee bedrijven vervolgens worden afgeperst.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwde eerder al voor de aanval via VSA-software. Er zijn bij dit cybersecurity-orgaan van het ministerie van Justitie en Veiligheid geen vitale bedrijven of organisaties, zoals luchthavens, gas- en elektraleveranciers, bekend die gebruikmaken van het aangevallen beheersysteem.

Lees meer over Beheer OP AG Intelligence
2
Reacties
Jasper Bakker 05 juli 2021 17:30

@Thomas
Ai, slordig van ons! Het is inderdaad de firma Hoppenbrouwers (met een s) uit Udenhout.
Is nu gecorrigeerd.
Dank voor de scherpe blik!

Mvg,
Jasper Bakker
redactie AG Connect

Thomas de Nooij 05 juli 2021 13:01

Correctie: het gaat hier om de firma Hoppenbrouwers (met een s) uit Udenhout en niet Uden

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.