Het afgelopen weekend vond een grote cyberaanval plaats, die wereldwijd tientallen bedrijven trof. Als gevolg van de aanval hebben een aantal slachtoffers nog steeds geen toegang tot hun computersystemen. NU.nl zet de feiten op een rijtje.

De aanval begon bij het Amerikaanse softwarebedrijf Kaseya. Dit bedrijf ontwikkelt systeembeheersoftware, waarmee ICT-beheerders computersystemen van klanten op afstand kunnen onderhouden.

Hoe is de aanval uitgevoerd?

Kaseya zegt dat de hackers via een zwakke plek in VSA, een van zijn beheersoftwareproducten, is binnengedrongen. Vervolgens is het programma gebruikt om ransomware te verspreiden onder gebruikers van VSA.

Bij ransomware worden bestanden en systemen versleuteld. Daarna wordt meestal losgeld geëist om ze weer toegankelijk te maken.

Wie zit achter de aanval?

Het gaat hier vermoedelijk om de Russische hackersgroep REvil, die de aanval heeft opgeëist en losgeld vraagt. Of de groep daadwerkelijk achter de aanval zit, is nog niet duidelijk. REvil was ook verantwoordelijk voor de cyberaanval op vleesverwerker JBS in juni. Dat bedrijf betaalde ruim 9 miljoen euro aan losgeld aan de hackers.

De cybercriminelen eisen in het geval van Kaseya 70 miljoen dollar (omgerekend 59 miljoen euro) in bitcoin om de systemen van alle gedupeerden in een keer vrij te geven.

Welke bedrijven zijn getroffen door de aanval?

In Zweden moest supermarktketen Coop zaterdag bijna al zijn achthonderd winkels in het land tijdelijk sluiten, omdat de hack de kassa’s lam had gelegd. Het aantal getroffen bedrijven in de VS ligt naar schatting rond de tweehonderd.

De aanval heeft ook Nederlandse bedrijven getroffen, zoals klanten van ICT-bedrijf VelzArt in Waardenburg. Volgens de NOS heeft het bedrijf zijn honderden klanten op vrijdagavond gewaarschuwd om hun systemen niet aan te zetten.

Ook technisch dienstverlener Hoppenbrouwers in Udenhout is getroffen. Het bedrijf merkte de aanval vrijdagavond op, schrijft het AD. Door snel te handelen wist het bedrijf de schade te beperken. De computers werden op tijd uitgeschakeld, waardoor de ransomware zich niet verder kon verspreiden. Uit voorzorg is Hoppenbrouwers afgelopen weekend begonnen met het opschonen van alle computers.

Had de aanval voorkomen kunnen worden?

Het Dutch Institute for Vulnerability Disclosure (DIVD), een groep ethische hackers, zegt zondag tegen Vrij Nederland dat het op het punt stond de aanval te verijdelen.

Een van de leden was ingehuurd door een bedrijf om de VSA-software te testen. Hij ontdekte de zwakke plek die uiteindelijk door REvil is uitgebuit. De DIVD nam contact op met de hoogste technische medewerker van Kaseya, zodat het lek via een update kon worden gedicht. Het uitrollen van de update lukte echter niet op tijd, waardoor de aanval kon plaatsvinden.

Source