Ransomware-aanval treft één miljoen bedrijven, waaronder Nederlandse topfirma's; Hackers eisen $ 70 miljoen aan Bitcoin

hacker

Een door hackers met Russische roots georkestreerde ransomware-aanval heeft meer dan een miljoen bedrijven over de hele wereld getroffen. De hackers eisen nu 70 miljoen dollar om een decoderingstool te leveren voor de miljoenen getroffen apparaten.

Sommige van de getroffen bedrijven zijn gevestigd in Nederland, Nieuw-Zeeland, Zweden, Zuid-Afrika, Kenia, Indonesië en Mexico. Volgens rapporten hadden de hackers, bekend als REvil, toegang tot de computers door Kaseya-gekoppelde systemen te compromitteren via het netwerkbeheerde pakket van het bedrijf. Kaseya is een softwarebedrijf gevestigd in de Verenigde Staten.

Hoewel Kaseya zei dat slechts een handvol van haar klanten werd getroffen, heeft de ransomware de activiteiten in bedrijven in meer dan 15 landen tot stilstand gebracht. Sommige experts merkten op dat de aanval zowel qua werking als schaal geavanceerd is.

In een blogpost op het dark web zeiden de hackers: "Als iemand wil onderhandelen... onze prijs is 70.000.000 $ in BTC... Als u geïnteresseerd bent in een dergelijke deal, neem dan contact met ons op via de 'leesmij'-bestandsinstructies van het slachtoffer."

Dezelfde groep hackers zat achter de recente aanval op JBS, een vleesverwerker, waarbij de aanvallers meer dan 10 miljoen USD aan losgeld incasseerden. Toen de huidige aanval vorige week vrijdag live ging, eiste REvil tussen de 45.000 USD per getroffen systeem.

Het losgeld van $ 70 miljoen is "een grote korting"

Later veranderden ze echter van gedachten en zeiden ze dat ze slechts 70 miljoen dollar nodig hadden om alle getroffen machines te herstellen door een openbare decryptortool vrij te geven.

Interessant is dat volgens analisten het bedrag van $ 70 miljoen "een grote korting" is, gezien het eerder gevraagde bedrag. Een Twitter-gebruiker merkte bijvoorbeeld op dat REvil "$ 45 miljard aan losgeld zou hebben opgebracht als iedereen afzonderlijk zou betalen". Als zodanig beschouwen de aanvallers "70 miljoen dollar voor de universele decryptor als een grote korting."

Sommigen dachten zelfs dat de "enorme" korting bedoeld is om "Kaseya te overtuigen om het te betalen om het gezicht van klanten te redden."

De aanval komt ongeveer drie weken nadat Joe Biden, de Amerikaanse president, zijn Russische tegenhanger, Vladimir Poetin, vertelde dat hij cybercriminelen die kritieke Amerikaanse netwerken aanvallen, niet moet beschermen.

Enkele van de kritieke infrastructuursectoren in de VS zijn dammen, landbouw, chemie, commerciële voorzieningen, energie, hulpdiensten, informatietechnologie, overheidsvoorzieningen, transport en water.

Volgens waarnemers was de aanval op een feestdag onderdeel van het plan, omdat bedrijven minder menskracht beschikbaar zouden hebben om op tijd te reageren.

Zweden en Nederland voelen de effecten al, meer dan 1.500 computers gehackt

Een van degenen die de pijn van de aanval al voelen, is Coop, een Zweeds kruideniersbedrijf. De aanval had gevolgen voor de kassa's en dwong hen om hun activiteiten op zondag stop te zetten, terwijl ze opmerkten dat hun winkels maandag gesloten blijven. De ransomware trof ook de Sveriges Television (SVT), de Zweedse nationale publieke televisiezender en de staatsspoorwegen van het land.

Peter Hultqvist, de Zweedse minister van Defensie, merkte op dat dergelijke aanvallen door de overheid kunnen worden gefinancierd "om de samenleving te sluiten en chaos te creëren".

Behalve in Zweden meldden ook bedrijven in Duitsland en Nederland dat ze waren gecompromitteerd. In Nederland werden Hoppenbrouwer Techniek en VelzArt, twee toonaangevende IT-dienstverleners, het slachtoffer.

Volgens de directeur van VelzArt, Wesley Born, wordt gevreesd dat zo'n 300 computers die aan de infrastructuur zijn gekoppeld, zijn gecompromitteerd. Aan de andere kant zei Hoppenbrouwer dat ongeveer 10 procent van zijn 1.5K-computers was geïnfecteerd.

Victor Gevers, een Nederlandse onderzoeker die gespecialiseerd is in kwetsbaarheden, merkte op dat hoewel de VSA-producten van Kaseya enorme netwerken kunnen besturen en beveiligen, dergelijke producten ook "structurele zwakheden vertonen".

✅ Bitcoin kopen? Meld je aan bij Bitvavo en betaal over de eerste 10.000 euro aan verhandelde cryptovaluta geen transactiekosten

De meeste servers zijn uitgeschakeld om de schade te minimaliseren

In een blogpost met de titel "KASEYA CASE UPDATE 2", merkte de onderzoeker op dat "het aantal Kaseya VSA-instanties" dat bereikbaar is aanzienlijk is gedaald, waarbij servers in Nederland zijn gedaald tot "tot nul".

Volgens Gevers laat de daling zien hoe de samenwerking van “security-minded organisaties heel effectief kan zijn tijdens een nare crisis”.

Er wordt echter geschat dat de meeste slachtoffers kleine en middelgrote ondernemingen zijn, waarvan de meeste mogelijk niet melden dat ze besmet zijn.

De FBI heeft een verklaring uitgegeven waarin staat dat ze "de situatie onderzoeken en samenwerken met Kaseya". Ze coördineren ook met de Cybersecurity and Infrastructure Security Agency (CISA) "om contact te houden met mogelijk getroffen slachtoffers."

Volgens Anne Neuberger, de plaatsvervangend Nationale Veiligheidsadviseur, heeft de Amerikaanse president beloofd om "de volledige middelen van de regering" te verstrekken in de lopende onderzoeken.

Altijd op de hoogte blijven van het laatste Bitcoin nieuws? Volg ons in de Google nieuws app, op Twitter of Instagram