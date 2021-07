Naarmate bedrijven en andere organisaties aan hun werkweek beginnen, zal langzaam duidelijk worden hoe groot de schade is van de grote cyberaanval van het afgelopen weekend. De hackers zouden liefst 70 miljoen dollar losgeld eisen.

Russische hackers van de zogenaamde REvil-groep zijn er dit weekend in geslaagd malware binnen te smokkelen bij wellicht duizenden organisaties in de hele wereld, vaak kleinere bedrijven, maar ook scholen, openbare besturen en zelfstandigen.

De hackers hebben het bijzonder slim gespeeld. Ze slaagden erin binnen te dringen bij het Amerikaanse bedrijf Kaseya, dat software op de markt brengt waarmee ICT-systemen vanop afstand beheerd worden. Die zogenaamde VSA-software wordt door gespecialiseerde bedrijven - zogenaamde Managed Service Providers - gebruikt om de systemen van hun eindklanten te beheren.

Gijzelsoftware

Kaseya zorgde dus zelf voor de verspreiding van de malware, een beetje vergelijkbaar met een virus dat gebruik maakt van menselijke cellen om zich snel in het hele lichaam te verspreiden. De malware is zogenaamde ransomware of gijzelsoftware. De getroffen bedrijven zien hun systemen en data versleuteld in afwachting van de betaling van losgeld dat in een digitale munt moet betaald worden.

Het is al duidelijk dat de slachtoffers talrijk zijn en wereldwijd verspreid zitten, maar voor een duidelijker beeld van de schade moeten we wellicht nog enkele dagen wachten. Volgens Kaseya zijn slechts een ‘zeer klein aantal’ van zijn eigen klanten besmet, maar het is niet duidelijk aan hoeveel eindklanten zij de besmetting hebben doorgegeven. Volgens de hackers zelf hebben ze meer dan een miljoen computers besmet, en het IT-bedrijf Huntress spreekt van meer dan 1.000 getroffen bedrijven.

70 miljoen losgeld In een bericht dat vermoedelijk van de leiding van de hackersgroep komt, wordt 70 miljoen dollar geëist om alle versleutelde data vrij te geven

Op een blog die typisch door REvil gebruikt wordt als communicatiekanaal verscheen zondagavond een bericht waarin de betaling werd geëist van 70 miljoen dollar losgeld in ruil voor een sleutel waarmee wereldwijd alle data kunnen worden ‘bevrijd’. Het is bij zo’n boodschappen moeilijk om uit te maken of ze echt van de hackers uitgaan. Volgens Allan Liska van het beveiligingsbedrijf Recorded Future is het bericht ‘vrijwel zeker’ afkomstig van de leiders van de misdaadgroep.

Voorlopig zijn er geen Belgische slachtoffers bekend, maar de kans is groot dat die er wel degelijk zijn. De VSA-software werd ook in ons land gebruikt. Het Centrum voor Cybersecurity (CCB) waarschuwde zaterdag voor de cyberaanval en raadde aan om alle VSA-servers uit te zetten in afwachting van een software-update.

ITxx

De Antwerpse Managed Service Provider ITxx zei zaterdag in een persbericht getroffen te zijn door een ransomwareaanval die het bedrijf zelf en zijn 50 klanten trof. Zaakvoerder Steven Holvoet zei aan De Tijd evenwel dat zijn bedrijf de VSA-software niet gebruikt. Hij wilde geen bedragen noemen, maar zei dat de hackers erg veel losgeld vroegen, 'een honderdvoud van wat doorgaans wordt gevraagd'. De klanten van ITxx zijn voornamelijk kmo's, actief in human resources, interimkantoren en dienstenchequebedrijven. Zij hebben voorlopig geen toegang tot hun IT-data of de back-ups daarvan.

De malware werd al in een kleine 20 landen gesignaleerd. Een land dat veel schade ondervond is Zweden. Door een besmetting bij de supermarktketen Coop bleven daar zaterdag honderden winkels gesloten.