analyse

Picanol mogelijk grootste Belgisch slachtoffer ransomware

Alle vestigingen van de weefgetouwenbouwer Picanol, van Ieper tot China, zijn getroffen door de cyberaanval. ©Picanol

Een cyberaanval legt de weefgetouwenbouwer wereldwijd lam. Het Ieperse bedrijf wordt mogelijk het grootste slachtoffer van ransomware in ons land. Ransomware is nu al op weg de cyberplaag van 2020 te worden.

Picanol, de Ieperse wereldmarktleider in weefmachines, ligt sinds zondagnacht volledig stil door een zware aanval met ransomware. Daarbij versleutelen hackers alle data op het netwerk om vervolgens losgeld te eisen. Picanol zei maandagavond contact te hebben gelegd met de cyberaanvallers, maar wist nog niet hoeveel ze vragen.

Behalve de IT-toepassingen werd ook de productie getroffen. Een herstart van de IT-systemen wordt vandaag nog niet verwacht, waardoor de 2.300 medewerkers van Picanol, met vestigingen in China en Roemenië, zonder werk zitten. Voor de 1.500 Belgische werknemers roept het bedrijf werkloosheid wegens overmacht in. Vanochtend zit Picanol samen met experts om de situatie opnieuw in te schatten.

Een herstart van de IT-systemen wordt vandaag nog niet verwacht, waardoor de 2.300 medewerkers van Picanol zonder werk zitten.
2.300
medewerkers

De cyberaanval is voor zover bekend de zwaarste ooit op een beursgenoteerd bedrijf in ons land. De zinkverwerker Nyrstar kreeg een jaar geleden ook een aanval met ransomware te verduren, maar daarbij kwam de productie niet in het gedrang.

De beleggers lijken zich voorlopig niet te veel zorgen te maken. Het aandeel Picanol verloor maandag maar 0,3 procent tot 65 euro. Ook de beurstoezichthouder FSMA zag geen reden om de notering te schorsen. Een groot deel van de waarde van het aandeel zit in Picanols participatie in de chemiegroep Tessenderlo.

Picanol heeft nog geen zicht op de financiële impact, maar die kan stevig oplopen als het bedrijf langere tijd buiten strijd blijft.

Ransomware

‘Een klassiek geval van ransomware’, omschrijft Picanol die aanval. Dat is kwaadaardige software die alle data en applicaties versleutelt, waardoor ze onbereikbaar worden voor de werknemers. In ruil voor het betalen van losgeld beloven de hackers de software weer vrij te geven. Het is hetzelfde soort aanval dat het Zaventemse bedrijf Asco vorige zomer drie weken lamlegde.

Precieze cijfers zijn moeilijk te vinden, maar op basis van de gevallen die de media halen, lijkt ransomware aan een opmars bezig. Voor een deel kan dat liggen aan de grotere transparantie als gevolg van de Europese GDPR-datarichtlijn die in mei 2018 van kracht werd. Volgens cijfers van cyberverzekeraars is het echter al jaren een van de vaakst voorkomende schadegevallen. ‘In 2017 en 2018 stond ransomware op de tweede plaats, na virusinfecties. Wellicht zit er ook in 2019 een podiumplaats in’, zegt Jeremy D’Hondt van de verzekeraar Hiscox.

Travelex

‘Deze aanval verrast me helemaal niet’, zegt Arnout Van de Meulebroucke van Phished, een start-up die bedrijven helpt hun werknemers bewust te maken van cyberrisico’s. ‘Veel bedrijven hebben de jongste jaren wel geïnvesteerd in een firewall, maar ze vergaten de kleine processen, het dichten van kwetsbaarheden met software-updates of zogenaamde ‘patches’. Aan één klik op een besmette link hebben de hackers vaak genoeg.’

Ik vermoed dat sommige hackers een soort kaart van het internet hebben die hen vertelt welke organisaties het kwetsbaarst zijn.
Erwin Geirnaert
Shift Left Security

Van de Meulebroucke vermoedt dat ook Picanol zo besmet raakte. ‘Ik zie veel gelijkenissen met Travelex (het netwerk van wisselkantoren dat sinds Nieuwjaar platligt door een ransomwareaanval, red). Daar maakten de hackers gebruik van een lek in de VPN-software, die gebruikt wordt om een connectie te maken tussen verschillende vestigingen. Er werd een update verspreid om het probleem op te lossen, maar veel bedrijven hebben die niet geïnstalleerd. De ransomware Sodinokibi maakt daar gebruik van.’

Sodinokibi, ook bekend onder de naam REvil, laat de hackers toe in te loggen als netwerkadministrator. Daardoor kunnen ze hun malware meteen over de hele organisatie verspreiden en hun impact vergroten. De hackers achter deze ransomware hielden het tot voor kort op loutere dreigementen, maar ze aarzelen niet om die ook uit te voeren. Enkele dagen geleden hebben ze voor het eerst gevoelige data op het internet gepubliceerd van een bedrijf dat weigerde losgeld te betalen.

De populariteit van ransomware bij hackers heeft alles te maken met het hoge rendement dat ze ermee kunnen halen. ‘De kostprijs van een hackingcampagne is enorm gedaald. Vandaag worden 200 miljoen phishingmails per dag verstuurd. Als er onder de slachtoffers één bedrijf is dat enkele honderdduizenden euro’s betaalt, is het al de moeite waard’, zegt Van de Meulebroucke.

Losgeld

Veel bedrijven komen in de verleiding om te betalen omdat dat ‘goedkoper’ is dan dagenlang niet kunnen werken. Voor Picanol, dat 667 miljoen euro omzet boekte in 2018, kan alleen al het omzetverlies in de miljoenen lopen. Walter Coenraets, het hoofd van de Federal Computer Crime Unit (FCCU) raadt dat af. ‘Je weet niet precies aan wie je betaalt en hebt dus ook geen garantie dat je je gegevens terugkrijgt. Bovendien gebeurt het zeer vaak dat de hackers nog meer geld vragen na een eerste betaling.’

De populariteit van ransomware bij hackers heeft alles te maken met het hoge rendement dat ze ermee kunnen halen.

Bovendien kunnen hackers nu veel grootschaliger én gerichter aanvallen dan enkele jaren geleden. ‘Ik vermoed dat sommige groeperingen beschikken over een soort kaart van het internet die hen in real time vertelt welke IP-adressen en organisaties het kwetsbaarst zijn’, zegt Erwin Geirnaert van het beveiligingsbedrijf Shift Left Security. ‘Die data kunnen in een soort abonnementssysteem ook verkocht worden aan andere hackersgroepen.’

Bitcoin

Een extra katalysator voor de verspreiding van ransomware was de digitale munt bitcoin, die het ontstellend gemakkelijk heeft gemaakt om grote bedragen aan losgeld digitaal over te maken zonder dat de daders hun identiteit moeten prijsgeven.

Vaak zijn internationale organisaties in het spel die vanuit België moeilijk te traceren of te verslaan zijn.
Walter Coenraets
Hoofd Federal Computer Crime Unit

Dat hackers altijd de weg van de minste weerstand zoeken, blijkt uit de aard van de slachtoffers die ze maken. Aanvankelijk ging het vooral om particulieren, vervolgens steeds vaker om bedrijven. ‘Dat bleek een succesvol model voor de hackers, maar door sensibilisering en campagnes nemen steeds meer bedrijven beveiligingsmaatregelen. Daarom richten ze zich nu op nieuwe sectoren waar gevoelige data te rapen zijn en die meer geneigd zijn het losgeld te betalen, zoals ziekenhuizen of overheden’, zegt Walter Coenraets, het hoofd van de Federal Computer Crime Unit (FCCU), de cyberarm van de federale politie.

‘Vaak zijn internationale organisaties in het spel die vanuit België moeilijk te traceren of te verslaan zijn. Daarom is internationale samenwerking met de politie essentieel. Een van de grootste moeilijkheden bij cyberaanvallen is blootleggen wie erachter zit. Dat kan gaan van gespecialiseerde bedrijven tot politieke overheden, zoals China of Noord-Korea.’

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud