NCSC-rapport: Nederlandse bedrijven zijn getroffen door geavanceerde ransomware

Meerdere Nederlandse bedrijven zijn in het afgelopen jaar slachtoffer geworden van de Ryuk- en LockerGoga-ransomware. Die geavanceerde ransomware richtte zich met name op grote bedrijven, waaronder belangrijke infrastructuur.

Dat staat in een vertrouwelijk rapport dat de NOS heeft ingezien. Het rapport is afkomstig van het Nationaal Cyber Security Centrum. Het is niet bekend hoeveel en welke bedrijven in Nederland getroffen zijn, maar wereldwijd zou dat aantal op zeker 1800 liggen. Dat gaat om bedrijven die het NCSC heeft kunnen identificeren. In het rapport staat dat het werkelijke aantal slachtoffers 'waarschijnlijk veel hoger ligt'. Het zou gaan om grote bedrijven in onder andere de auto-industrie, ziekenhuizen en bouwbedrijven.

Ook Nederlandse takken van multinationals zijn geraakt, waaronder die van een Amerikaans chemiebedrijf. Dat bedrijf is bovendien een belangrijke toeleverancier van kritieke infrastructuur in Nederland. Daaronder vallen onder meer de drinkwatervoorziening, internettoegang en energie.

In sommige gevallen lichtte de NCSC de bedrijven in en konden zij op tijd voorkomen dat de malware toesloeg. In het rapport staat onder andere hoe de daders soms wel maanden in het netwerk zaten voordat zij werden opgemerkt. Dat komt vaker voor bij ransomware, zeker bij geavanceerdere vormen. Vaak wordt dan eerst het netwerk in kaart gebracht om de impact te maximaliseren of wordt gewacht op het juiste moment om toe te slaan.

Volgens het rapport gaat het om zowel de Ryuk- als de LockerGoga-ransomware. Ook de Megacortex-ransomware zou hebben toegeslagen. Dat zijn vormen van gijzelsoftware waarvan bekend is dat de verspreiders zich voornamelijk op grote bedrijven richten. Zeker bij Ryuk worden vaak zeer hoge bedragen aan losgeld gevraagd. Ook in Nederland zouden verschillende bedrijven dat hebben gedaan, staat in het rapport. Het zou dan soms gaan om miljoenen euro's. Ook schrijft het rapport dat er angst is dat de aanvallers spioneren bij de bedrijven. Het NCSC vermoedt dat de aanvallers zerodays hebben gebruikt en mede daarom worden de aanvallen gelinkt aan Russische criminele groeperingen. Het inzicht in die groepen zou echter beperkt zijn.

Nederlandse veiligheidsinstanties waarschuwen de laatste tijd vaker voor grote digitale aanvallen. Onder andere de Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwt dat Nederland erg 'kwetsbaar is voor digitale ontwrichting' door de afhankelijkheid van technologie. De Wetenschappelijke Raad voor het Regeringsbeleid stelde in september nog voor dat de overheid moet kunnen ingrijpen bij dergelijke incidenten.

Reacties (47)

ShellGhost 28 november 2019 07:47

Ruyk word de afgelopen maanden veel ingezet in Amerika om daar o.a. gemeentes af te persen.
Dit het was een kwestie van tijd voordat Ryuk hier gesignaleerd zou zijn. Zeker gezien de Amerikaanse bedrijven hier.
Zolang mensen op vreemde sites komen en op vreemde links in emails klikken zal Ryuk en consorten blijven bestaan.
Hier een interessant achtergrond stuk van Ryuk:
https://www.crowdstrike.c...tive-targeted-ransomware/

wankel @ShellGhost • 28 november 2019 10:39

Zolang mensen op vreemde sites komen en op vreemde links in emails klikken zal Ryuk en consorten blijven bestaan.

Met een goed georganiseerde spearfishing campagne hoeven slachtoffers-to-be helemaal niet op vreemde sites te komen of rare emails te openen.

Niet iedereen heeft een baan waarbij je elke dag met dezelfde vijf personen bekende personen contact hebt, en zonder DNSSEC of equivalent zijn er maar heel weinig IT'ers (laat staan gemiddeld kantoorpersoneel) die een man-in-the-middle aanval herkennen.

nietorigineel @ShellGhost • 28 november 2019 10:49

"Mensen moeten niet zomaar op links klikken! Klik hier voor meer info" haha ik moest toch even glimlachen.

Als je nou echt je punt had willen maken had die link per direct ransomware moeten installeren.

Northside 28 november 2019 07:53

Bij dit soort aanvallen op kritieke infrastructuur mag de overheid best een grote(re) rol spelen. Zet dat cyberteam van defensie er maar op en mocht het (op wat voor manier dan ook) duidelijk worden wie er achter zit, laat ze maar van hun bed lichten door een team commandos. Groot showproces, breed uitmeten in de media, hoge straf, etc. Dat zou in ieder geval een beetje een afschrikwekkende werking hebben, groot deel van het probleem is dat de mensen achter ransomware nu anoniem/onaantastbaar zijn.

Anoniem: 310408 @Northside • 28 november 2019 09:26

het probleem is dat de mensen achter ransomware nu anoniem/onaantastbaar zijn.

Omdat ze anoniem betaald worden met coins en ze vrijwel nooit in een rechtsgebied zitten waar we veel te zeggen hebben.

Dus geen commando's, show process met hoge straffen. Wij wonen in een rechtsstaat weet je nog? Waar het leger geen politietaken mag doen, waar showprocessen absoluut verboden zijn en waar rechters zelf wel bepalen hoeveel ze straffen.

Northside @Anoniem: 310408 • 28 november 2019 16:35

Dan vraag je of de mensen die het wel voor het zeggen hebben ze oppakken. Met de juiste diplomatieke beloning/bedreiging is alles te regelen. Commando's die criminelen oppakken in het buitenland kan wel, minimumstraffen zijn er ook. Het is alleen dat aan dit alles geen prioriteit wordt gegeven omdat het bedrijven/burgers betreft. Als het een keer de belastingdienst is die weken plat gaat ofzo, dan kan wel opeens alles.

Ik geloof hoe dan ook niet in het onbestraft laten van misdaad.

ShellGhost @Northside • 28 november 2019 08:54

Dus je wil dat onze Groene Baretten China of Noord Korea gaan binnen vallen?
Als je een internationaal schandaal wil veroorzaken moet je dat doen.

darkness_nightf @ShellGhost • 28 november 2019 09:34

Dit is ook een internationaal schandaal als je er achter komt dat die landen het doen.
Je kunt die landen niet binnevallen misschien ( gaan we verliezen) maar dan hoop ik nu wel echt op een goede actie.

ShellGhost @darkness_nightf • 28 november 2019 12:22

Het probleem is dat je nooit, in ieder geval nu, 100% kan bewijzen wie er achter zit. Daarom blijft het tot nu toe bij vingertje wijzen.

darkness_nightf @ShellGhost • 28 november 2019 13:30

nooit?

Dat betwijfel ik. Het kost tijd of men wil de relatie niet schenden.

janbaarda @ShellGhost • 28 november 2019 11:06

Nee, volgens de NOS heeft het NCSC deze keer weer "Russische" hackers als daders aangewezen. Hier in het vrije westen doen we dit soort dingen niet (sic).

Northside @ShellGhost • 28 november 2019 16:28

Of we vragen/eisen van de Russen/Chinezen/whatever dat zij de mensen oppakken en uitleveren. Stel er wat moois tegenover en ik betwijfel of dat soort landen daar veel moeite mee zouden hebben.

mark-k @Northside • 28 november 2019 08:18

Ik denk niet dat onze militaire zomaar even een paar Russen uit hun bed gaan lichten. Maar ik ben het wel met je eens dat dit eens groots aangepakt moet worden, als je ziekenhuizen en nutsvoorzieningen gaat aanvallen moet je gewoon als terrorist bestempeld worden.

Groningerkoek @Northside • 28 november 2019 11:54

Moet je wel snel zijn met je proces voordat Rusland en China Nederland geheel platleggen met alle middelen nodig om de door ons ontvoerde mensen terug te halen.

Northside @Groningerkoek • 28 november 2019 16:26

Ik betwijfel of China en/of Rusland dat soort maatregelen zouden nemen om een paar criminele hackertjes terug te halen. Maar goed, dan vragen/eisen we via de officiële paden om uitlevering en doen het op die manier. Als er maar eens een keer een signaal wordt afgegeven dat ze er niet zo makkelijk mee wegkomen.

Groningerkoek @Northside • 28 november 2019 16:52

jij leest "paar criminele hackertjes" ik lees "staatsburgers van een grote mogendheid ontvoeren van hun eigen grondgebied"

En uitlevering vragen klinkt leuk, maar uitlevering van wie precies?

Northside @Groningerkoek • 28 november 2019 17:23

Er worden dagelijks criminelen uitgeleverd aan andere landen, geen reden dat dat in deze gevallen niet zou kunnen.

En ja, dan moet je eerst weten wie het zijn. En daar kan je best achter komen als je het echt wil. Maar dan moet je het willen, er prioriteit aan geven en er een hoop moeite (en geld) in stoppen. Bijvoorbeeld zelf hackers uit de betreffende landen verleiden met beloningen. Doen we nu niet, want de overheid heeft er nog niet echt last van, maar het zal er wel van komen. Dat de politie nu mag terughacken is bijvoorbeeld een begin van een aanpak.

Groningerkoek @Northside • 28 november 2019 17:47

De politie kan toestemming verkrijgen om terug te hacken, maar als die computers in bijvoorbeeld Rusland staan heeft Nederland daar niets over te zeggen.

Northside @Groningerkoek • 29 november 2019 15:03

Ik bedoel maar te zeggen dat het een begin van een aanpak is, in andere landen zie je soortgelijke verruiming van de wetgeving. Langzaam begint men te reageren op dit soort grensoverschrijdende cybercriminaliteit. Mag van mij wel wat sneller (en met commando's

)

Amadeus1966 28 november 2019 07:46

Worden dit soort zaken door dergelijke uitspraken en acties nu niet gepromoot?

alionfire @Amadeus1966 • 28 november 2019 08:26

Aangezien ransomware al jaren een groeiende trend kent, denk ik van niet.

Andersom is dit een wake-up call voor bedrijven en individuen om extra waakzaam te zijn tegen dit soort aanvallen.

janbaarda @Amadeus1966 • 28 november 2019 11:08

Het schijnt een lucratieve bezigheid te zijn. Opstarters een goed begin om de kapitaalmarkt een beetje af te romen.

Amadeus1966 @janbaarda • 28 november 2019 11:19

Ivm uitbreiding van mijn werkzaamheden zoek ik een goede ict-er die niet vies is om de handen uit de mouwen te steken.
Salaris op provisie basis en bij gebleken succes een goede winstuitkering.

Bux666 28 november 2019 10:12

[...] waaronder die van een Amerikaans chemiebedrijf. Dat bedrijf is bovendien een belangrijke toeleverancier van kritieke infrastructuur in Nederland. Daaronder vallen onder meer de drinkwatervoorziening, internettoegang en energie.

Euh...een Amerikaans chemiebedrijf is in Nederland verantwoordelijk voor kritieke infrastructuur van o.a. drinkwatervoorziening, internettoegang en energie? Volgens de link naar UK Cyber Security Association kan het Hexion of Momentive zijn. Beide nog nooit van gehoord...

Vragen:
1. Waarom levert een chemiebedrijf drinkwater, internet en energie?
2. Waarom wordt dit uitbesteedt aan buitenlandse bedrijven?

Cartman!

@Bux666 • 28 november 2019 11:38

Toeleverancier; dus dit bedrijf zou dus producten/goederen leveren aan de Nederlandse bedrijven van drinkwater, internet en energie. Ineens een stuk minder vreemd toch?

Dev0o 28 november 2019 09:06

“ Het is oorlog maar niemand die het ziet” van Huib Modderkolk gaat onder andere over de rol die Aivd en Mivd spelen in dit soort kwesties. Het wordt wel degelijk serieus genomen door de overheid, maar echt ingrijpen buiten Nederland is een complexe risicovolle onderneming die met internationale partners moet worden gedaan. Echter, zo laat het boek ook weten, kleven er aan samenwerking met bondgenoten ook weer risico’s omdat iedere partij zijn eigen belangen heeft op het gebied van informatie en spionage en dus nooit volledig te vertrouwen is.

[Reactie gewijzigd door Dev0o op 23 juli 2024 16:09]

Pietertje 28 november 2019 09:55

De naam van de malware is Lockergoga niet Lockergaga

sygys 28 november 2019 07:34

Fascinerend om te zien dat juist de media zorgt voor aandacht van deze praktijken waardoor andere hackers word3n geinspireerd hetzelfde te doen. Je zag dit ook met de tegel gooiers van de viaducten. Het komt op het nieuws en opeens hoor je van alle kanten vergelijkbare gevallen.

Berichten als deze zetten andere mensen weer aan tot hetzelfde. Ik heb altijd een afkeer gehad tegen media en sensatie makend nieuws. Keer op keer zie je dst nieuws problemen alleen maar erger maken.

n9iels

@sygys • 28 november 2019 07:55

Ik ben het hier zeker niet mee eens. Het betreft in dit geval een nieuwsbericht over een geavanceerd stuk malware/ransomware. Groeperingen die zo iets kunnen bouwen hebben geen nieuwsbericht nodig om geïnspireerd te raken. En tegel van een viaduct gooien kan iedereen, een stuk ransomware dat een groot bedrijf plat legt is toch wat moeilijker.

Ik denk (hoop) dat dit bericht juist weer een kleine wake up call is voor bedrijven om te investeren in hun beveiliging. Veel van dit soort troep maakt gebruik van al gepatched beveiligings lekken, dus iets simpels als een goed update beleid doet al wonderen.

sygys @n9iels • 28 november 2019 08:06

Ik ben het niet met je eens. 10 jaar geleden hoorde je helemaal niks op ransomeware gebied. Het bestond noet of in zeer kleine mate. Het komt een keer groot in het nieuws en opeens hoor je 100den dan al niet 1000den gevallen de weken daarop.

De media speelt in mijn ogen een zeer grote rol in het hoog houden en aanwakkeren van problemen die er zonder hen nooit zouden zijn geweest. Terrorisme is hier een mooi voorbeels van. Als er nooit meer nieuws zou komen over een terroristische aanslag dan heeft het plegen van een aanslag totaal geen effect meer en zal vanzelf stoppen of in elk geval gigantisch verminderen.

Meeste mensen hebben geen flauw idee hoeveel macht en invloed media heeft op de gebeurtenissen in de wereld tot je je er echt in gaat verdiepen.

icecreamfarmer @sygys • 28 november 2019 08:16

Behalve dat het onzin is want terrorisme bestond al 1000den jaren voordat de gedrukte pers er was.
Het is een vorm van verzet/oorlogsvoering.

SunnieNL

@sygys • 28 november 2019 10:24

Dat komt ook omdat je 10 jaar geleden niet Ransomware-as-a-Service had.
Nu kan jantje op de hoek een paar cryptocoins er tegenaan gooien en een lijst met targets aanleveren op een webformuliertje en de aanval wordt ingezet.

wankel @sygys • 28 november 2019 10:33

Terrorisme is hier een mooi voorbeels van. Als er nooit meer nieuws zou komen over een terroristische aanslag dan heeft het plegen van een aanslag totaal geen effect meer en zal vanzelf stoppen of in elk geval gigantisch verminderen.

Alle vormen van terrorisme? Met name staatsterrorisme? Ik weet voor Nederland niet direct een recent voorbeeld te bedenken (eerste wat in me opkomt speelde in Indonesie, maar ik denk dat meeer media-aandacht voor staatsterrorisme alleen maar goed is.

De Oeigoeren in Chinese concentratiekampen, Amerikanen in Amerikaanse vergeetgevangenissen en vluchtelingen in 'opvangcentra' zullen blij zijn met elk stukje media-aandacht, en als het meezit voldoende volk op de been brengen om hun overheid op andere gedachten te brengen.

ajolla @Yev • 28 november 2019 16:37

Ik denk anders dat de grondlegger van het Chinese communisme er ook wel wat van kon hoor.

Jochem285 @sygys • 28 november 2019 07:41

Klinkt me wel een beetje als Baader-Meinhof effect. Volgens mij gebeuren deze dingen onafhankelijk van de media aandacht, enkel ben jij er nu meer bewust van. Dat de media een bepaald item meer verslaat omdat andere media dat ook doen, dat zou kunnen.

The Zep Man

Beveiliging en antivirus
Nederland
Malware

@sygys • 28 november 2019 07:46

Ik heb altijd een afkeer gehad tegen media en sensatie makend nieuws.

Wat doe je dan op T.net?

Het nieuws hier is grotendeels sensatie rond het thema techniek, en niet iets dat de wereld of onze manier van leven significant verandert. Een nieuwe smartphone heeft een gat in het scherm voor de camera: spannend! Natuurlijk zijn er ook artikelen over de grote zaken in de wereld, maar dat wordt ook nog wel eens opgeblazen door T.net. De rest zijn artikelen over techniek dat echt een verschil maakt, maar dat is slechts een kleine greep.

Buiten dat T.net wel eens zaken te groot opblaast en niet goed zijn bronnen controleert gaat het vaak om 'legitieme' sensatienieuws in de techniek. En daar is niets mis mee. Mensen met een affiniteit met de techniek vinden dat leuk om te lezen. Wel is het belangrijk om het in de juiste context te plaatsen. Morgen komt de zon gewoon weer op en staan de Apple fans in de rij voor de iPhone XV en de Samsung fans voor de SNote 15. C'est la vie.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 16:09]

Anoniem: 316512 @sygys • 28 november 2019 09:30

Bedrijven worden aangevallen en hebben blijkbaar de beveiliging niet op orde. Het is alleen maar goed dat er extra aandacht aan geschonken wordt. Zo kan er wellicht nog wat schade voorkomen worden.

Je zou je eens moeten verdiepen in wat scanning tools. Het is best makkelijk om er achter te komen welke bedrijven er in Nederland een onbeveiligde computer aan hebben staan met een internetverbinding. Wanneer de media hier ook eindelijk achter is, zijn de hackers al lang weer ergens anders mee bezig. Die aandacht is totaal ondergeschikt voor iemand met kwade bedoelingen.

HoppyF 28 november 2019 11:34

De Telegraaf meldt dat er op Aruba een ziekenhuis is getroffen.
Best vervelend kun je wel zeggen.
https://www.telegraaf.nl/...gen-ziekenhuis-aruba-plat

RogerDad 28 november 2019 12:45

Recentelijk zijn ook een ziekenhuis in Frankrijk https://www.bbc.com/news/technology-50503841 en een Belgische universiteit slachtoffer geworden van dit soort gerichte ransomware aanvallen. Daar ging het om CLOP: https://www.bleepingcompu...ws-defender-malwarebytes/. Het artikel geeft het advies om er in ieder geval voor te zorgen dat "Tamper Protection" in Windows 10 aan staat: https://www.bleepingcompu...tection-security-feature/

sparticle 28 november 2019 15:45

Is er iemand die ransomware echt als een probleem ziet die er geen belang bij heeft om het probleem te overdrijven?

De reden dat ik het vraag is dat de oplossing voor dit probleem al sinds meer dan 40 jaar bekend is bij iedereen die ooit een boek heeft gelezen.

P.S. Mocht je dit boek niet hebben gelezen en je bent de trotse eigenaar van een bedrijf met minstens vijf miljard omzet, dan wil ik je best helpen aan een betere IT-afdeling.

Op dit item kan niet meer gereageerd worden.

NCSC-rapport: Nederlandse bedrijven zijn getroffen door geavanceerde ransomware

Lees meer

Reacties (47)

Sorteer op:

Weergave: