Een aan
Rusland gelinkte hackersgroep heeft met een grootschalige cyberaanval, die nog altijd gaande is, minstens 1000 bedrijven getroffen, zo blijkt uit informatie van het cyberbeveiligingsbedrijf Huntress Labs. De bedrijven zouden zijn getroffen door
gijzelsoftware.
De aanval is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum roept bedrijven op het product VSA, dat gebruikt wordt voor beheer op afstand, uit te schakelen. Volgens het NCSC is het product breed in gebruik bij beheerpartijen, die ICT-steun verlenen aan andere bedrijven.
Hoewel nog niet vaststaat dat VSA de bron is van de aanval, raadt Kaseya organisaties ten sterkste aan het direct uit te schakelen. Het softwarebedrijf denkt ook de zwakke plek te hebben gevonden die de hackers hebben uitgebuit en brengt snel reparatiesoftware uit.
Huntress Labs heeft verschillende zogeheten managed service providers (dienstverleners) geïdentificeerd die kampen met
ransomware-incidenten. Die maken allemaal gebruik van VSA. Volgens het cyberbeveiligingsbedrijf zijn minstens 1000 bedrijven, die klant zijn bij deze managed service providers, door de hack getroffen.
Huntress Labs verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. Een researcher van het cyberbeveiligingsbedrijf ESET zei tegen Bloomberg dat de cyberaanval tot dusver in 17 landen slachtoffers heeft gemaakt, waaronder het Verenigd Koninkrijk, Nederland, Zuid-Afrika, Canada, Argentinië, Mexico en Spanje. Het losgeld dat de hackers vragen, kan volgens Huntress Labs bij sommige bedrijven oplopen tot 5 miljoen dollar.
“Dit is een van de ingrijpendste – niet door een staat uitgevoerde – aanvallen die we ooit hebben gezien en het lijkt puur bedoeld om geld afhandig te maken”, zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is er haast geen betere manier om schadelijke software (malware) te verspreiden dan via vertrouwde ICT-dienstverleners.
De groep die achter de hack zit, staat volgens cyberbeveiligingsbedrijf Recorded Future bekend als REvil. Die zat ook achter de hack bij vleesverwerkingsbedrijf JBS, waardoor vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.
Die aanval kwam niet lang na een grote cyberaanval tegen het Amerikaanse Colonial Pipeline. Door die hack moest een belangrijke oliepijplijn tijdelijk worden platgelegd, waardoor er tekorten aan benzine bij tankstations ontstonden en de brandstofprijzen flink stegen. Ook hiervan worden Russische hackers verdacht, met de naam DarkSide.