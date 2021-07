Het Centrum voor Cybersecurity (CCB) waarschuwt voor een grootschalige internationale cyberaanval met gijzelsoftware. Wereldwijd zijn minstens 200 bedrijven getroffen door deze aanval, die aan de Russische hackersgroep REvil wordt toegeschreven.

Concreet gaat het om een aanval op software die wereldwijd door allerhande organisaties wordt gebruikt voor ICT-beheer, legt CCB-woordvoerder Andries Bomans uit. Omdat de software bepaalde kwetsbaarheden vertoont voor hackers, lopen al die organisaties nu het risico om gehackt te worden. Het CCB heeft alvast alle Belgische organisaties die met het softwareprogramma Kaseya VSA werken, gevraagd om dat systeem onmiddellijk uit te schakelen. Hoe lang zo'n cyberaanval duurt, is moeilijk te voorspellen, zegt Bomans, maar meestal komt de leverancier vrij snel met een update van het systeem.

Al 200 bedrijven getroffen

De aanval begon in de nacht van vrijdag op zaterdag en trof wereldwijd al zeker 200 bedrijven in 17 landen, waaronder in Groot-Brittanië, de VS? Zweden, Zuid-Afrika, Canada, Spanje, Mexico en Argentinië. Cyberbeveiligingsbedrijf Huntress Labs sprak zaterdagavond zelfs van meer dan 1.000 getroffen ondernemingen.. Die bedrijven zijn allemaal klant bij acht ICT-dienstverleners die het doelwit werden van de ansomware-aanval. Volgens het CCB gaat het om een variant van de REvil-ransomware. REvil is een aan Rusland gelinkte hackersgroep, die via en valse update van Kaseya erin geslaagd is om de malware te installeren.

Eén van de grootste slachtoffers van de nieuwe cyberaanval is de Zweedse supermarktketen Coop. Die heeft 500 van zijn 800 winkels in het land tijdelijk moeten sluiten, omdat de cyberaanval de kassa's lam legde. Coop heeft een marktaandeel van 20 procent in de Zweedse supermarktsector en een jaaromzet van omgerekend ongeveer 1,5 miljard euro.

Belgisch slachtoffer

Of er ook al Belgische bedrijven getroffen zijn, is niet helemaal duidelijk. De Antwerpse ICT-dienstverlener ITxx stuurde zaterdag wel een persbericht waarin het stelt getroffen te worden door een ransomware-aanval, waardoor hackers alle data en mails van het bedrijf en van 50 klanten konden versleutelen. Die klanten zijn voornamelijk kmo's, actief in human resources, interimkantoren en dienstenchequebedrijven. Zij hebben voorlopig geen toegang tot hun IT-data of de back-ups daarvan.

ITxx werkt samen met de Computer Crime Unit van de federale gerechtelijke politie en met ransomware-specialisten van het cybersecuritybedrijf Secutec aan een oplossing 'om een veilige heropstart mogelijk te maken', klinkt het in een persbericht. De ICT-dienstverlener deed ook al aangifte bij de Gegevensbeschermingsautoriteit.

Losgeld geëist

Bij een aanval met gijzelsoftware eisen de hackers meestal losgeld. Volgens Amerikaanse media variëren de geëiste bedragen van 45.000 dollar tot 5 miljoen dollar. Met de dreiging dat de bedragen zouden verdubbelen als er binnen de week niet wordt betaald. Volgens beveiligingsbedrijf Emsisoft is vorig jaar zeker 18 miljard dollar betaald aan zo'n hackers.

Ook van het Antwerpse IT-bedrijf wordt losgeld geëist. Over hoeveel geld de hackers willen, zwijgt Steven Holvoet van ITxx in alle talen. 'Maar ze vragen erg veel losgeld, een honderdvoud van wat doorgaans wordt gevraagd'. Of het bedrijf zal betalen, wil Hovloet niet kwijt. Hij verwacht wel dat de problemen minstens nog een aantal dagen zullen aanhouden.

Of ITxx slachtoffer is van de grootschalige ransomware-aanval via de IT-beheersoftware van leverancier Kaseya VSA, is niet zeker. Volgens Holvoet gebruikt het Antwerpse bedrijf die software niet.