Cyberaanval treft luchtvaartbedrijf Asco zwaarder dan gedacht

Er hangt nog veel mist rond de cyberaanval op luchtvaartbedrijf Asco in Zaventem. Het gaat om ransomware, waarbij hackers de servers van een bedrijf blokkeren als chantagemiddel om geld los te krijgen.

Volgens het parket is het nog niet uit te maken welk type cybercriminelen er achter de aanval zit. Het kan om private hackers gaan die uit zijn op losgeld. Zulke cybercriminelen organiseren zich op het 'dark web', de duistere kant van het internet. Doorgaans eisen ze 300 dollar per geïnfecteerde computer of server, te betalen in een cryptomunt als bitcoin.

Een tweede mogelijkheid is dat de aanval uitgevoerd werd door staatsgestuurde hackers met een geopolitieke of militaire agenda. Asco levert onderdelen aan het Amerikaanse Boeing,  het Europese Airbus en levert ook onderdelen voor het gevechtsvliegtuig F-35 van Lockheed Martin. De informatie op zijn servers kan sommige buitenlandse regimes mogelijk interesseren.

Door de cyberaanval wordt Asco's toelevering aan zijn klanten in elk geval fors verstoord. Het bedrijf verlengde woensdag de tijdelijke werkloosheid door overmacht voor de circa 1.000 werknemers in België tot vrijdag. Oorspronkelijk gold dit slechts tot en met woensdag. Ook de weekendploeg wordt niet verwacht, meldt vakbondssecretaris Jan Baetens (ACV-Metea). Dat duidt erop dat de cyberaanval, die ook de vestigingen in de VS, Duitsland en Canada trof, ernstiger is dan gedacht.

Asco moest door de cyberaanval wereldwijd zijn activiteiten stilleggen en zei dinsdagavond dat het 'alle mogelijke stappen onderneemt om het incident zo snel mogelijk af te handelen', met de hulp van externe IT-experten.

Sporen wegwissen

Mogelijk verbergt de cyberaanval met ransomware een veel grotere inbreuk. 'Zo'n aanval wordt soms gebruikt om sporen van eerdere inbraken te wissen. Want wat doet een bedrijf na zo'n incident? De server re-booten, waarmee alle geschiedenis verdwijnt', zegt de Zweedse cybersecurity-expert Henrik Davidsson van Vectra.

Uit eerdere gevallen blijkt dat hackers hun tijd nemen en na de eerste inbraak gemiddeld meer dan 100 dagen tot soms zelfs een half jaar ongezien in het IT-systeem van het slachtoffer-bedrijf rondhangen om data te verzamelen. 'Bedrijven investeren te veel in preventie en te weinig in detectie. Waar ze op moeten focussen, is die 'rondhangtijd' van de cybercriminelen weg te werken', zegt Davidsson.

Hij stelt in heel Europa vast dat toeleveranciers als Asco vaker dan vroeger het doelwit zijn van hackers. 'Grote bedrijven als Airbus hebben uitgebreide teams voor cyberveiligheid. Dus gaan hackers zich richten op de kleinere bedrijven in de toeleveringsketen, om de bevoorrading te verstoren. Daarnaast zijn ook bedrijven in grondstoffen, zoals de Noorse aluminiumreus Norsk Hydro, almaar vaker het slachtoffer. Want zulke aanvallen hebben mogelijk ook een impact op de grondstoffenprijzen.'

In januari was het geplaagde zinkbedrijf Nyrstar een doelwit.

Losgeld 

De Franse consultancy- en engineering-groep Altran had ook in januari te kampen met een gelijkaardige aanval als die van Asco. Ook in dat geval was er sprake van ransomware en een aanval op verscheidene landen. Bij Altran ging het om een 'crypto locker virus', waarbij de werknemers volledig buitengesloten werden van hun eigen computer. Het duurde meer dan een maand vooraleer alle systemen hersteld konden worden.

Volgens een onbevestigd bericht in de krant L'Express heeft Altran 300 bitcoins (toen ongeveer 1 miljoen euro) betaald om van de hackers de ontcijfersleutel te krijgen. Voor de getroffen bedrijven of overheden is het een moeilijke afweging: om principiële redenen geven ze liever niet toe aan de hackers, maar puur bedrijfseconomisch kan het de goedkoopste oplossing zijn om het losgeld te betalen.

De lokale overheid Jackson County in de Amerikaanse staat Georgia werd in maart het slachtoffer van ransomware en betaalde, na onderhandeling door een consultant, omgerekend 400.000 dollar aan hackers voor de ontcijfersleutel.

De totale schade van een cyberaanval loopt makkelijk in de miljoenen euro's. Davidsson: 'Het eventuele losgeld is maar een aspect. Er is het omzetverlies door de onderbreking van de productie, de kosten voor het herstel van de IT en de reputatieschade.'