Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

NCSC-rapport: Nederlandse bedrijven zijn getroffen door geavanceerde ransomware

Meerdere Nederlandse bedrijven zijn in het afgelopen jaar slachtoffer geworden van de Ryuk- en LockerGoga-ransomware. Die geavanceerde ransomware richtte zich met name op grote bedrijven, waaronder belangrijke infrastructuur.

Dat staat in een vertrouwelijk rapport dat de NOS heeft ingezien. Het rapport is afkomstig van het Nationaal Cyber Security Centrum. Het is niet bekend hoeveel en welke bedrijven in Nederland getroffen zijn, maar wereldwijd zou dat aantal op zeker 1800 liggen. Dat gaat om bedrijven die het NCSC heeft kunnen identificeren. In het rapport staat dat het werkelijke aantal slachtoffers 'waarschijnlijk veel hoger ligt'. Het zou gaan om grote bedrijven in onder andere de auto-industrie, ziekenhuizen en bouwbedrijven.

Ook Nederlandse takken van multinationals zijn geraakt, waaronder die van een Amerikaans chemiebedrijf. Dat bedrijf is bovendien een belangrijke toeleverancier van kritieke infrastructuur in Nederland. Daaronder vallen onder meer de drinkwatervoorziening, internettoegang en energie.

In sommige gevallen lichtte de NCSC de bedrijven in en konden zij op tijd voorkomen dat de malware toesloeg. In het rapport staat onder andere hoe de daders soms wel maanden in het netwerk zaten voordat zij werden opgemerkt. Dat komt vaker voor bij ransomware, zeker bij geavanceerdere vormen. Vaak wordt dan eerst het netwerk in kaart gebracht om de impact te maximaliseren of wordt gewacht op het juiste moment om toe te slaan.

Volgens het rapport gaat het om zowel de Ryuk- als de LockerGoga-ransomware. Ook de Megacortex-ransomware zou hebben toegeslagen. Dat zijn vormen van gijzelsoftware waarvan bekend is dat de verspreiders zich voornamelijk op grote bedrijven richten. Zeker bij Ryuk worden vaak zeer hoge bedragen aan losgeld gevraagd. Ook in Nederland zouden verschillende bedrijven dat hebben gedaan, staat in het rapport. Het zou dan soms gaan om miljoenen euro's. Ook schrijft het rapport dat er angst is dat de aanvallers spioneren bij de bedrijven. Het NCSC vermoedt dat de aanvallers zerodays hebben gebruikt en mede daarom worden de aanvallen gelinkt aan Russische criminele groeperingen. Het inzicht in die groepen zou echter beperkt zijn.

Nederlandse veiligheidsinstanties waarschuwen de laatste tijd vaker voor grote digitale aanvallen. Onder andere de Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwt dat Nederland erg 'kwetsbaar is voor digitale ontwrichting' door de afhankelijkheid van technologie. De Wetenschappelijke Raad voor het Regeringsbeleid stelde in september nog voor dat de overheid moet kunnen ingrijpen bij dergelijke incidenten.

Door Tijs Hofmans

Redacteur privacy & security

28-11-2019 • 07:26

47 Linkedin Google+

Reacties (47)

Wijzig sortering
Ruyk word de afgelopen maanden veel ingezet in Amerika om daar o.a. gemeentes af te persen.
Dit het was een kwestie van tijd voordat Ryuk hier gesignaleerd zou zijn. Zeker gezien de Amerikaanse bedrijven hier.
Zolang mensen op vreemde sites komen en op vreemde links in emails klikken zal Ryuk en consorten blijven bestaan.
Hier een interessant achtergrond stuk van Ryuk:
https://www.crowdstrike.c...tive-targeted-ransomware/
Zolang mensen op vreemde sites komen en op vreemde links in emails klikken zal Ryuk en consorten blijven bestaan.
Met een goed georganiseerde spearfishing campagne hoeven slachtoffers-to-be helemaal niet op vreemde sites te komen of rare emails te openen.

Niet iedereen heeft een baan waarbij je elke dag met dezelfde vijf personen bekende personen contact hebt, en zonder DNSSEC of equivalent zijn er maar heel weinig IT'ers (laat staan gemiddeld kantoorpersoneel) die een man-in-the-middle aanval herkennen.
"Mensen moeten niet zomaar op links klikken! Klik hier voor meer info" haha ik moest toch even glimlachen.

Als je nou echt je punt had willen maken had die link per direct ransomware moeten installeren.
Bij dit soort aanvallen op kritieke infrastructuur mag de overheid best een grote(re) rol spelen. Zet dat cyberteam van defensie er maar op en mocht het (op wat voor manier dan ook) duidelijk worden wie er achter zit, laat ze maar van hun bed lichten door een team commandos. Groot showproces, breed uitmeten in de media, hoge straf, etc. Dat zou in ieder geval een beetje een afschrikwekkende werking hebben, groot deel van het probleem is dat de mensen achter ransomware nu anoniem/onaantastbaar zijn.
het probleem is dat de mensen achter ransomware nu anoniem/onaantastbaar zijn.
Omdat ze anoniem betaald worden met coins en ze vrijwel nooit in een rechtsgebied zitten waar we veel te zeggen hebben.

Dus geen commando's, show process met hoge straffen. Wij wonen in een rechtsstaat weet je nog? Waar het leger geen politietaken mag doen, waar showprocessen absoluut verboden zijn en waar rechters zelf wel bepalen hoeveel ze straffen.
Dan vraag je of de mensen die het wel voor het zeggen hebben ze oppakken. Met de juiste diplomatieke beloning/bedreiging is alles te regelen. Commando's die criminelen oppakken in het buitenland kan wel, minimumstraffen zijn er ook. Het is alleen dat aan dit alles geen prioriteit wordt gegeven omdat het bedrijven/burgers betreft. Als het een keer de belastingdienst is die weken plat gaat ofzo, dan kan wel opeens alles.

Ik geloof hoe dan ook niet in het onbestraft laten van misdaad.
Dus je wil dat onze Groene Baretten China of Noord Korea gaan binnen vallen?
Als je een internationaal schandaal wil veroorzaken moet je dat doen.
Dit is ook een internationaal schandaal als je er achter komt dat die landen het doen.
Je kunt die landen niet binnevallen misschien ( gaan we verliezen) maar dan hoop ik nu wel echt op een goede actie.
Het probleem is dat je nooit, in ieder geval nu, 100% kan bewijzen wie er achter zit. Daarom blijft het tot nu toe bij vingertje wijzen.
nooit?

Dat betwijfel ik. Het kost tijd of men wil de relatie niet schenden.
Nee, volgens de NOS heeft het NCSC deze keer weer "Russische" hackers als daders aangewezen. Hier in het vrije westen doen we dit soort dingen niet (sic).
Of we vragen/eisen van de Russen/Chinezen/whatever dat zij de mensen oppakken en uitleveren. Stel er wat moois tegenover en ik betwijfel of dat soort landen daar veel moeite mee zouden hebben.
Ik denk niet dat onze militaire zomaar even een paar Russen uit hun bed gaan lichten. Maar ik ben het wel met je eens dat dit eens groots aangepakt moet worden, als je ziekenhuizen en nutsvoorzieningen gaat aanvallen moet je gewoon als terrorist bestempeld worden.
Moet je wel snel zijn met je proces voordat Rusland en China Nederland geheel platleggen met alle middelen nodig om de door ons ontvoerde mensen terug te halen.
Ik betwijfel of China en/of Rusland dat soort maatregelen zouden nemen om een paar criminele hackertjes terug te halen. Maar goed, dan vragen/eisen we via de officiële paden om uitlevering en doen het op die manier. Als er maar eens een keer een signaal wordt afgegeven dat ze er niet zo makkelijk mee wegkomen.
jij leest "paar criminele hackertjes" ik lees "staatsburgers van een grote mogendheid ontvoeren van hun eigen grondgebied"

En uitlevering vragen klinkt leuk, maar uitlevering van wie precies?
Er worden dagelijks criminelen uitgeleverd aan andere landen, geen reden dat dat in deze gevallen niet zou kunnen.

En ja, dan moet je eerst weten wie het zijn. En daar kan je best achter komen als je het echt wil. Maar dan moet je het willen, er prioriteit aan geven en er een hoop moeite (en geld) in stoppen. Bijvoorbeeld zelf hackers uit de betreffende landen verleiden met beloningen. Doen we nu niet, want de overheid heeft er nog niet echt last van, maar het zal er wel van komen. Dat de politie nu mag terughacken is bijvoorbeeld een begin van een aanpak.
De politie kan toestemming verkrijgen om terug te hacken, maar als die computers in bijvoorbeeld Rusland staan heeft Nederland daar niets over te zeggen.
Ik bedoel maar te zeggen dat het een begin van een aanpak is, in andere landen zie je soortgelijke verruiming van de wetgeving. Langzaam begint men te reageren op dit soort grensoverschrijdende cybercriminaliteit. Mag van mij wel wat sneller (en met commando's ;))
Worden dit soort zaken door dergelijke uitspraken en acties nu niet gepromoot?
Aangezien ransomware al jaren een groeiende trend kent, denk ik van niet.

Andersom is dit een wake-up call voor bedrijven en individuen om extra waakzaam te zijn tegen dit soort aanvallen.
Het schijnt een lucratieve bezigheid te zijn. Opstarters een goed begin om de kapitaalmarkt een beetje af te romen. :) :) :P
Ivm uitbreiding van mijn werkzaamheden zoek ik een goede ict-er die niet vies is om de handen uit de mouwen te steken.
Salaris op provisie basis en bij gebleken succes een goede winstuitkering.
[...] waaronder die van een Amerikaans chemiebedrijf. Dat bedrijf is bovendien een belangrijke toeleverancier van kritieke infrastructuur in Nederland. Daaronder vallen onder meer de drinkwatervoorziening, internettoegang en energie.
Euh...een Amerikaans chemiebedrijf is in Nederland verantwoordelijk voor kritieke infrastructuur van o.a. drinkwatervoorziening, internettoegang en energie? Volgens de link naar UK Cyber Security Association kan het Hexion of Momentive zijn. Beide nog nooit van gehoord...

Vragen:
1. Waarom levert een chemiebedrijf drinkwater, internet en energie?
2. Waarom wordt dit uitbesteedt aan buitenlandse bedrijven?
Toeleverancier; dus dit bedrijf zou dus producten/goederen leveren aan de Nederlandse bedrijven van drinkwater, internet en energie. Ineens een stuk minder vreemd toch?
“ Het is oorlog maar niemand die het ziet” van Huib Modderkolk gaat onder andere over de rol die Aivd en Mivd spelen in dit soort kwesties. Het wordt wel degelijk serieus genomen door de overheid, maar echt ingrijpen buiten Nederland is een complexe risicovolle onderneming die met internationale partners moet worden gedaan. Echter, zo laat het boek ook weten, kleven er aan samenwerking met bondgenoten ook weer risico’s omdat iedere partij zijn eigen belangen heeft op het gebied van informatie en spionage en dus nooit volledig te vertrouwen is.

[Reactie gewijzigd door Dev0o op 28 november 2019 09:07]

De naam van de malware is Lockergoga niet Lockergaga ;)
Fascinerend om te zien dat juist de media zorgt voor aandacht van deze praktijken waardoor andere hackers word3n geinspireerd hetzelfde te doen. Je zag dit ook met de tegel gooiers van de viaducten. Het komt op het nieuws en opeens hoor je van alle kanten vergelijkbare gevallen.

Berichten als deze zetten andere mensen weer aan tot hetzelfde. Ik heb altijd een afkeer gehad tegen media en sensatie makend nieuws. Keer op keer zie je dst nieuws problemen alleen maar erger maken.
Ik ben het hier zeker niet mee eens. Het betreft in dit geval een nieuwsbericht over een geavanceerd stuk malware/ransomware. Groeperingen die zo iets kunnen bouwen hebben geen nieuwsbericht nodig om geïnspireerd te raken. En tegel van een viaduct gooien kan iedereen, een stuk ransomware dat een groot bedrijf plat legt is toch wat moeilijker.

Ik denk (hoop) dat dit bericht juist weer een kleine wake up call is voor bedrijven om te investeren in hun beveiliging. Veel van dit soort troep maakt gebruik van al gepatched beveiligings lekken, dus iets simpels als een goed update beleid doet al wonderen.
Ik ben het niet met je eens. 10 jaar geleden hoorde je helemaal niks op ransomeware gebied. Het bestond noet of in zeer kleine mate. Het komt een keer groot in het nieuws en opeens hoor je 100den dan al niet 1000den gevallen de weken daarop.

De media speelt in mijn ogen een zeer grote rol in het hoog houden en aanwakkeren van problemen die er zonder hen nooit zouden zijn geweest. Terrorisme is hier een mooi voorbeels van. Als er nooit meer nieuws zou komen over een terroristische aanslag dan heeft het plegen van een aanslag totaal geen effect meer en zal vanzelf stoppen of in elk geval gigantisch verminderen.

Meeste mensen hebben geen flauw idee hoeveel macht en invloed media heeft op de gebeurtenissen in de wereld tot je je er echt in gaat verdiepen.
Behalve dat het onzin is want terrorisme bestond al 1000den jaren voordat de gedrukte pers er was.
Het is een vorm van verzet/oorlogsvoering.
Dat komt ook omdat je 10 jaar geleden niet Ransomware-as-a-Service had.
Nu kan jantje op de hoek een paar cryptocoins er tegenaan gooien en een lijst met targets aanleveren op een webformuliertje en de aanval wordt ingezet.
Terrorisme is hier een mooi voorbeels van. Als er nooit meer nieuws zou komen over een terroristische aanslag dan heeft het plegen van een aanslag totaal geen effect meer en zal vanzelf stoppen of in elk geval gigantisch verminderen.
Alle vormen van terrorisme? Met name staatsterrorisme? Ik weet voor Nederland niet direct een recent voorbeeld te bedenken (eerste wat in me opkomt speelde in Indonesie, maar ik denk dat meeer media-aandacht voor staatsterrorisme alleen maar goed is.

De Oeigoeren in Chinese concentratiekampen, Amerikanen in Amerikaanse vergeetgevangenissen en vluchtelingen in 'opvangcentra' zullen blij zijn met elk stukje media-aandacht, en als het meezit voldoende volk op de been brengen om hun overheid op andere gedachten te brengen.
Ik denk anders dat de grondlegger van het Chinese communisme er ook wel wat van kon hoor.
Klinkt me wel een beetje als Baader-Meinhof effect. Volgens mij gebeuren deze dingen onafhankelijk van de media aandacht, enkel ben jij er nu meer bewust van. Dat de media een bepaald item meer verslaat omdat andere media dat ook doen, dat zou kunnen.
Ik heb altijd een afkeer gehad tegen media en sensatie makend nieuws.
Wat doe je dan op T.net?

Het nieuws hier is grotendeels sensatie rond het thema techniek, en niet iets dat de wereld of onze manier van leven significant verandert. Een nieuwe smartphone heeft een gat in het scherm voor de camera: spannend! Natuurlijk zijn er ook artikelen over de grote zaken in de wereld, maar dat wordt ook nog wel eens opgeblazen door T.net. De rest zijn artikelen over techniek dat echt een verschil maakt, maar dat is slechts een kleine greep.

Buiten dat T.net wel eens zaken te groot opblaast en niet goed zijn bronnen controleert gaat het vaak om 'legitieme' sensatienieuws in de techniek. En daar is niets mis mee. Mensen met een affiniteit met de techniek vinden dat leuk om te lezen. Wel is het belangrijk om het in de juiste context te plaatsen. Morgen komt de zon gewoon weer op en staan de Apple fans in de rij voor de iPhone XV en de Samsung fans voor de SNote 15. C'est la vie.

[Reactie gewijzigd door The Zep Man op 28 november 2019 07:58]

Bedrijven worden aangevallen en hebben blijkbaar de beveiliging niet op orde. Het is alleen maar goed dat er extra aandacht aan geschonken wordt. Zo kan er wellicht nog wat schade voorkomen worden.

Je zou je eens moeten verdiepen in wat scanning tools. Het is best makkelijk om er achter te komen welke bedrijven er in Nederland een onbeveiligde computer aan hebben staan met een internetverbinding. Wanneer de media hier ook eindelijk achter is, zijn de hackers al lang weer ergens anders mee bezig. Die aandacht is totaal ondergeschikt voor iemand met kwade bedoelingen.
De Telegraaf meldt dat er op Aruba een ziekenhuis is getroffen.
Best vervelend kun je wel zeggen.
https://www.telegraaf.nl/...gen-ziekenhuis-aruba-plat
Recentelijk zijn ook een ziekenhuis in Frankrijk https://www.bbc.com/news/technology-50503841 en een Belgische universiteit slachtoffer geworden van dit soort gerichte ransomware aanvallen. Daar ging het om CLOP: https://www.bleepingcompu...ws-defender-malwarebytes/. Het artikel geeft het advies om er in ieder geval voor te zorgen dat "Tamper Protection" in Windows 10 aan staat: https://www.bleepingcompu...tection-security-feature/
Is er iemand die ransomware echt als een probleem ziet die er geen belang bij heeft om het probleem te overdrijven?

De reden dat ik het vraag is dat de oplossing voor dit probleem al sinds meer dan 40 jaar bekend is bij iedereen die ooit een boek heeft gelezen.

P.S. Mocht je dit boek niet hebben gelezen en je bent de trotse eigenaar van een bedrijf met minstens vijf miljard omzet, dan wil ik je best helpen aan een betere IT-afdeling.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True