Ook in Nederland mogelijk honderden bedrijven getroffen door ransomware-aanval

Ook in Nederland zijn mogelijk honderden bedrijven slachtoffer van de grote internationale cyberaanval die gisteravond wereldwijd computers heeft lamgelegd. Het gaat in ieder geval om klanten van ICT-bedrijf VelzArt in Waardenburg.

VelzArt heeft honderden klanten. Die bedrijven zijn gewaarschuwd dat hun computers geïnfecteerd kunnen zijn, vooral als ze hun systemen gisteren tussen 18.00 en 20.00 uur aan hadden staan. Ze krijgen het advies hun systemen voorlopig niet aan te zetten. Volgens een medewerker is de impact enorm. "We zijn druk bezig en worden platgebeld."

De aanvallers wisten de ransomware te verspreiden via software van Kaseya. ICT-bedrijven gebruiken die software om computersystemen van klanten op afstand te beheren.

Frietkraam

Ook bij de Udenhoutse technisch dienstverlener Hoppenbrouwers zijn systemen geïnfecteerd geraakt. Er werd snel opgetreden maar de impact blijft groot. "'Ja, niet op tijd genoeg dus. Maar wel zo op tijd dat we het schip in de goede richting hebben kunnen keren", zegt directeur Henny de Haas. Er zijn computers geïnfecteerd, ongeveer 10 procent van ruim 1500 computers die het bedrijf gebruikt. "Het is op een heel gehaaide manier gegaan. Het is via een update gebeurd van software die wereldwijd bekend is."

De aanval heeft een flinke impact op het bedrijf. Tientallen medewerkers moesten in allerijl langs bij alle achttien vestigingen om alle computers na te lopen. "Het is bijna niet leuk meer om te ondernemen zo", zegt De Haas. Al zorgde de operatie ook voor de nodige saamhorigheid. "Toen onze medewerkers na een lange dag terug waren, hebben we ook een frietkraam laten komen. Sommigen hadden hun kinderen meegenomen. Het was nog net geen familiefeestje."

Hoppenbrouwers beschikte wel over back-ups, maar die waren al een paar uur oud. "We zijn een klein stukje tijd kwijt. We hebben een slim back-upsysteem. Dus we konden spullen terughalen van vlak voor de aanval. Maar het kan best zijn dat er een bestelling is geplaatst die wel bij de klant in de computer staat, maar niet meer in ons systeem. Dat zijn kleine dingen, maar wel heel vervelend."

Van zeker drie andere dienstverleners in Nederland is bekend dat ze met diezelfde software werken. Van twee daarvan is onbekend of ze schade hebben ondervonden door de cyberaanval. De derde, Xantion, zegt tot nu toe geen spoor van het gijzelvirus te hebben gevonden.

Directeur Peter Oelen van Xantion werd gisteravond thuis gebeld door een distributeur van de Kaseya-software. "Ze zeiden: zet nu je server uit, want de Kaseya-servers zijn gehackt. Twee minuten later stond hij ook uit", vertelt Oelen. "Toen zijn we gaan kijken of onze server besmet was."

Tot nu toe lijken de computers van Xantion niet getroffen te zijn door de aanval. "Maar zeker weten we het nog niet dus de server blijft uit", zet Oelen. "En we weten nog niet wanneer we Kaseya weer kunnen gebruiken, dus wat dat ons gaat kosten is nog onzeker."

Volgens de directeur is met de mega-aanval sprake van een nieuw niveau van cybercrime. Want meestal wordt bij een ransomware-aanval maar één bedrijf tegelijk aangevallen. Nu wisten de aanvallers via de servers van dienstverlenende bedrijven veel meer slachtoffers te bereiken. "Terwijl je het normaal gaat om één kogel op één bedrijf, heb je het hier over een atoombom die potentieel duizenden bedrijven in één klap kan platleggen."

Het gaat dan ook niet meer om kwajongens op een zolderkamer, zegt Oelen, maar om digitale maffia. "Dit is een digitale hackers-multinational."

Onzichtbaar

Het lijkt erop dat de aan Rusland gelieerde REvil-groep achter de aanval zit, die door de FBI ook verantwoordelijk wordt gehouden voor de aanval op de Braziliaanse vleesverwerker JBS twee maanden geleden.

De nieuwe aanval via de servers van Kaseya lijkt op die in 2017 met de NotPetya-malware, zegt Mark Loman van beveiligingsbedrijf Sophos. Die cyberaanval verliep op een vergelijkbare manier en kostte onder meer het Deense transportbedrijf Maersk zo'n 200 miljoen euro.

Ook volgens Loman zijn er waarschijnlijk veel meer bedrijven getroffen bij deze aanval dan nu bekend is. Bij zijn bedrijf kregen veel klanten ermee te maken. "We hebben er beperkt zicht op. Als je kijkt naar de bedrijven waar wij bescherming hebben geboden, en als we dat extrapoleren, denk ik dat er tienduizenden bedrijven aangevallen zijn."

Hoeveel precies wordt misschien nooit duidelijk, vermoedt Loman. "Veel blijft onzichtbaar, want veel bedrijven lopen er niet mee te koop."