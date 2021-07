Het Russische hackerscollectief REvil heeft mogelijk duizenden bedrijven wereldwijd gehackt door mee te liften met software die ICT-systemen beheert.

De Russische hackers slaagden er afgelopen weekend in ransomware binnen te smokkelen bij wellicht duizenden organisaties - vaak kleinere bedrijven, maar ook scholen, openbare besturen en zelfstandigen. Die kwaadaardige ‘gijzelsoftware’ versleutelt de data van de slachtoffers, waarna de hackers losgeld eisen om de data vrij te geven.

De essentie Russische hackers hebben ransomware verspreid bij vermoedelijk duizenden organisaties wereldwijd.

De aanvallers maakten gebruik van software om IT-systemen vanop afstand te laten beheren.

Bij een gelijkaardige aanval op het Antwerpse bedrijf ITxx raakten ruim 50 organisaties besmet met ransomware.

De criminelen konden binnendringen bij het Amerikaanse bedrijf Kaseya, dat software op de markt brengt waarmee ICT-systemen vanop afstand beheerd worden. Die VSA-software wordt door gespecialiseerde bedrijven - Managed Service Providers - gebruikt om de systemen van hun eindklanten te beheren.

Voordeur

Via de beheersoftware raakte de kwaadaardige software langs de voordeur binnen in de ICT-systemen van getroffen bedrijven. Door de aanval tijdens een zomers weekend uit te voeren - in de VS bovendien een verlengd weekend - konden de hackers veel schade aanrichten voor de slachtoffers iets door hadden. Een van de getroffen bedrijven is de Zweedse supermarktketen Coop, die honderden winkels moest sluiten omdat de kassa’s buiten gebruik waren.

De modus operandi om zich voor te doen als een stuk software van een vertrouwde partner staat in de beveiligingswereld bekend als een supply chain-aanval. Het is een groeiend en zorgwekkend fenomeen. Ook de beruchte SolarWinds-aanval van afgelopen december maakte gebruik van die techniek. Toen injecteerden hackers hun malware in de beheersoftware Orion van het bedrijf SolarWinds, waardoor ze wereldwijd 18.000 netwerken konden besmetten, onder meer van de Amerikaanse overheid.

Geldgewin

Vermoed wordt dat de beruchte Russische groep REvil achter de aanval zit. Die heeft er nooit een geheim van gemaakt dat ze puur op geldgewin uit is. De geëiste bedragen zijn vaak bijzonder hoog en slachtoffers die willen betalen, worden ondersteund door een online servicedesk.

70 miljoen LOSGELD In een bericht dat vermoedelijk van de leiding van de hackersgroep komt, wordt 70 miljoen dollar geëist om alle versleutelde data vrij te geven.

Op een blog die typisch door REvil gebruikt wordt als communicatiekanaal verscheen zondagavond een bericht waarin de betaling werd geëist van 70 miljoen dollar losgeld in ruil voor een sleutel waarmee wereldwijd alle data kunnen worden ‘bevrijd’. Kenners gaan ervan uit dat het bericht afkomstig is van de leiders van de misdaadgroep.

ITxx

In ons land werd de Antwerpse Managed Service Provider ITxx zaterdag getroffen door een ransomwareaanval die veel gelijkenissen vertoond met de REvil-aanval, ook al gebruikt het bedrijf de VSA-software van Kaseya niet. 'We kunnen uitsluiten noch bekrachtigen dat het om REvil gaat. Er zijn vermoedens dat het om een andere partij gaat’, zegt gedelegeerd bestuurder Steven Holvoet.

Schermvullende weergave Steven Holvoet (rechts) is gedelegeerd bestuurder bij ITxx.

Sinds vrijdag hebben ITxx en 'vijftig à zestig' klanten geen toegang tot hun gegevens of back-ups. Het gaat om rekruterings- en selectiekantoren, dienstenchequebedrijven en enkele boekhoudkantoren. 'Onze voornaamste prioriteit ligt bij onze klanten, die we zo snel mogelijk opnieuw operationeel willen krijgen', zegt Holvoet, die denkt dat de hinder nog enkele dagen kan aanslepen.

ITxx deed aangifte bij het Centrum voor Cybersecurity België (CCB), dat de zaak mee onderzoekt. 'Er is melding gemaakt van een aanval op ITxx, maar volgens onze informatie gaat het om een ander type ransomware dan bij de cyberaanval op het Amerikaanse Kaseya', zegt woordvoerder Andries Bomans.

Holvoet wil niet kwijt hoeveel losgeld de hackers vragen en of hij daarop ingaat, maar noemt het bedrag wel 'een honderdvoud' van wat doorgaans wordt gevraagd. 'We kunnen hen absoluut niet vertrouwen en willen daarom spaarzaam zijn met informatie.' Waarnemers in de sector vermoeden dat de hackers een bedrag met zes nullen eisen.

Het dienstenchequebedrijf Dienstenthuis, dat ruim 2.000 thuishulpen tewerkstelt in de regio's Antwerpen en Turnhout, is een van de ondernemingen die hinder ondervinden. 'Onze ICT-leverancier is vrijdag het slachtoffer geworden van een cyberaanval. Als gevolg kunnen we niet in onze mailboxen en interne werkdocumenten', luidt de nieuwsbrief. Dienstenthuis geeft aan dat zijn werking 'ernstig verstoord' is.

We zijn precies tien jaar teruggeslingerd in de tijd. Pieter van Hemele CEO Talentus

Ook de uitzendgroep Talentus kreeg te maken met de gevolgen van de cyberaanval. 'Het hoofdkantoor lag vrijdag helemaal plat. Alle servers met onze data over contracten, prestaties, lonen en RSZ-aangiftes waren gecodeerd en dus niet toegankelijk', zegt CEO Pieter Van Hemele. 'Onze 21 lokale kantoren zijn operationeel gebleven, al ondervinden we nog altijd last voor onze backoffice.' De medewerkers moeten zich voorlopig uit de slag trekken met administratie op papier. 'We zijn precies tien jaar teruggeslingerd in de tijd. Maar we kunnen niet anders.'