Een ransomware-aanval met het Petya-virus in 2017 ANP

Zeker tweehonderd Amerikaanse bedrijven zijn slachtoffer geworden van een grote ransomware-aanval. Het lijkt erop dat de aan Rusland gelieerde REvil-groep achter de aanval zit, zegt beveiligingsbedrijf Huntress Labs. Diezelfde groep wordt door de FBI verantwoordelijk gehouden voor de aanval op de Braziliaanse vleesverwerker JBS twee maanden geleden.

Bij zo'n aanval met gijzelsoftware worden computersystemen door criminelen platgelegd totdat het getroffen bedrijf losgeld betaalt. Vermoedelijk is de aanval begonnen bij Kaseya, een bedrijf dat ICT-beheersoftware levert.

Bedrijven betalen miljoenen aan internetcriminelen om hun gegijzelde bestanden vrij te geven. In deze video leggen we je uit welke illegale techniek dit veroorzaakt:

Ransomware-aanval: hoe werkt dat?

Er zou een probleem zijn met het product VSA, dat wordt gebruikt voor beheer op afstand. De aanvallers hebben hun aanval opgezet door software te misbruiken die is bedoeld om ICT-systemen te beheren. ICT-bedrijven gebruiken die software, VSA, om de computers van hun klanten te beheren. Bij meerdere van die ICT-bedrijven zou nu zijn ingebroken, waarna hun klanten de dupe waren. Zeker is dat nog niet, maar gebruikers wordt geadviseerd om hun servers waarop VSA draait direct uit te zetten.

Het lijkt erop dat de aanvallers een frauduleuze update voor VSA hebben uitgerold, die het na installatie voor hen mogelijk maakte om in te breken. Zo'n supply chain-aanval werd eerder gebruikt om in te breken bij Amerikaanse overheidsinstellingen. Ook de aanval op de Rotterdamse haven in 2016 begon met zo'n aanval.

In potentie 'verwoestende aanval'

Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven die gebruikmaken van VSA op dat uit te schakelen. Volgens het NCSC wordt het product veel gebruikt door beheerpartijen, die ICT-steun verlenen aan andere bedrijven.

Dit is dan ook in potentie een "kolossale en verwoestende" aanval, schrijft de topman van Huntress Labs. "Kaseya levert wereldwijd aan grote en kleine bedrijven, dus ieder bedrijf kan dan ook doelwit zijn." Vermoedelijk is de timing ook niet toevallig: in het weekend van Fourth of July, de Amerikaanse Onafhankelijkheidsdag, zijn veel ICT-afdelingen van bedrijven onderbemand.

Het Zwitserse beveiligingsbedrijf Kudelski Security spreekt van "een van de ingrijpendste aanvallen die we ooit hebben gezien". Het losgeld dat geëist wordt, kan bij sommige bedrijven oplopen tot 5 miljoen euro.

Beveiligingsonderzoeker Mark Loman van Sophos laat weten dat ook Nederlandse bedrijven aangevallen zijn. Het gaat om in ieder geval twee klanten van zijn beveiligingsbedrijf, in Amsterdam en Hellevoetsluis. Hoewel de bedrijven succesvol werden aangevallen, zijn hun bestanden niet op slot gezet, omdat ze anti-ransomwaresoftware hadden draaien.

STER reclame