Groep achter ransomware-aanval eist 70 miljoen voor vrijgeven bestanden
De hackers die vermoedelijk achter de grote ransomware-aanval van afgelopen weekend zitten, hebben vannacht voor het eerst van zich laten horen. Op hun blog op het darkweb hebben ze een 'aanbod' gedaan aan getroffen bedrijven. Voor een bedrag van 70 miljoen dollar aan cryptomunten zouden de hackers bereid zijn een universele sleutel vrij te geven, zodat iedereen zijn bestanden terug kan krijgen.
Het gaat vrijwel zeker om de aan Rusland gelieerde REvil-groep. Directeur Dave Maasland van IT-beveiligingsbedrijf ESET zegt: "Dat is misschien wel de meest professionele bende wat betreft ransomware. De omvang van de aanval en details komen nu naar buiten."
Grootste criminele ransomware-aanval
"Naar eigen zeggen hebben de aanvallers meer dan 1 miljoen systemen geïnfecteerd, maar een korte rekensom leert dat het er potentieel zo'n 200.000 zijn", zegt Maasland in het NOS Radio 1 Journaal. "Er waren ongeveer 2000 servers te vinden die het product gebruiken dat zij aangevallen hebben."
"Ik vraag me af of het er echt 1 miljoen zouden kunnen zijn, maar dit is wel de grootste criminele ransomware-aanval die we ooit hebben gezien."
Hij weet tot nu toe van 17 landen waar bedrijven zijn getroffen, maar verwacht dat er nog wel meer bij komen. Of er al getroffen bedrijven zijn die hun bestanden weer terug hebben, is niet duidelijk. Het lijkt er niet op dat er al bedrijven met de groep in onderhandeling zijn.
Wie betaalt losgeld?
De vraag om losgeld lijkt niet gericht aan een bepaalde partij. "Misschien hopen ze op een grote verzekeraar. Maar ik kan me haast niet voorstellen dat iemand het aandurft om deze groep te sponsoren. Het is de beruchtste groep, als je die nog eens 70 miljoen betaalt om volgende keer weer terug te komen met betere wapens, dat lijkt me zeer onverstandig", zegt Maasland.
De kwetsbare plekken in softwaresystemen zijn gewoon te koop, legt hij uit. "De grote angst is dat dit soort groepen zo machtig worden dat ze dit soort cyberwapens blijven aanschaffen, met potentieel veel grotere schade."
Bedrijven betalen miljoenen aan internetcriminelen om hun gegijzelde bestanden vrij te geven. In deze video leggen we je uit welke illegale techniek dit veroorzaakt.
Hij zegt dat bedrijven wordt afgeraden om losgeld te betalen. Maar als een bedrijf met de rug tegen de muur staat en de keuze is failliet gaan of betalen, dan is het de enige kans om te overleven. "Je hebt geen garanties, maar we snappen het wel."
"Het lijkt erop dat REvil een standaardbedrag aan individuele bedrijven vraagt van 49.000 dollar. Op dit moment is nog geen bedrijf bekend dat erop is ingegaan."
Slim aangepakt
De hackers hebben de aanval volgens Maasland slim uitgevoerd. "Om de bedrijven binnen te komen hebben ze gekeken welke 'gereedschapskist' de getroffen IT-bedrijven gebruiken, welke software om op afstand onderhoud te plegen."
De bende brak in bij het Amerikaanse technologiebedrijf Kaseya, in Miami. Via klanten van dat bedrijf werd een kettingreactie in gang gezet, die in korte tijd de computers van honderden bedrijven wereldwijd platlegde.
De aanval was bijna voorkomen. Nederlandse ethische hackers ontdekten het lek, maar net voordat ze klaar waren om een update uit te brengen ,sloeg de REvil-bende toe. "Dit soort aanvallen op dienstverleners, daar kun je als klant vrij weinig tegen doen", aldus Maasland.