Een aan Rusland gelinkte hackersgroep heeft met een grootschalige cyberaanval, die in de nacht van vrijdag op zaterdag nog altijd aan de gang is, ongeveer tweehonderd bedrijven getroffen, meldt persbureau Bloomberg op basis van informatie van het beveiligingsbedrijf Huntress Labs. De bedrijven zouden zijn getroffen door gijzelsoftware.

Bij gijzelsoftware, ook wel ransomware genoemd, worden bestanden en systemen versleuteld. Vervolgens wordt losgeld geëist om deze weer toegankelijk te maken.

De aanval is mogelijk begonnen bij Kaseya, een leverancier van ICT-beheersoftware. Het Nationaal Cyber Security Centrum (NCSC) roept bedrijven ertoe op het product VSA, dat gebruikt wordt voor beheer op afstand, uit te schakelen.

Volgens het NCSC is het product breed in gebruik bij beheerpartijen die ICT-steun verlenen aan andere bedrijven.

Huntress Labs heeft inmiddels acht dienstverleners (zogeheten managed service providers) geïdentificeerd die kampen met ransomware-incidenten. Die maken allemaal gebruik van het product VSA. Volgens het cyberbeveiligingsbedrijf zijn tweehonderd bedrijven, die klant zijn bij deze managed service providers, getroffen door de hack.

Vermoedelijk ingebroken via zwakke plek

Hoewel nog niet vaststaat dat VSA de bron van de aanval is, raadt Kaseya organisaties ten sterkste aan het direct uit te schakelen.

Rond 4.00 uur 's nachts (Nederlandse tijd) meldde het bedrijf dat er tot dan toe minder dan veertig bevestigde slachtoffers onder zijn eigen klanten waren. Het betreft bedrijven die de software op hun eigen apparatuur hebben draaien.

De VSA-software die door Kaseya als een abonnement wordt aangeleverd aan klanten, ook wel SaaS genoemd, is vermoedelijk niet getroffen door de aanval. Het softwarebedrijf denkt ook de zwakke plek die de hackers hebben uitgebuit te hebben gevonden en brengt snel reparatiesoftware uit.

Losgeld tot 5 miljoen dollar

Huntress Labs verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. In welke landen de bedrijven precies zijn getroffen is niet duidelijk, maar het gaat in ieder geval om de Verenigde Staten. Het losgeld dat de hackers vragen, kan volgens Huntress Labs bij sommige bedrijven oplopen tot 5 miljoen dollar (4,21 miljoen euro).

"Dit is een van de ingrijpendste - niet door een staat uitgevoerde - aanvallen die we ooit hebben gezien, en ze lijken puur bedoeld om geld afhandig te maken", zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is er haast geen betere manier om schadelijke software (malware) te verspreiden dan via vertrouwde ICT-dienstverleners.

De groep die achter de hack zit, staat volgens cyberbeveiligingsbedrijf Recorded Future bekend als REvil. Die zat ook achter de hack bij vleesverwerkingsbedrijf JBS, waardoor vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.

Die aanval kwam niet lang na een grote cyberaanval tegen het Amerikaanse Colonial Pipeline. Door die hack moest een belangrijke oliepijplijn tijdelijk worden platgelegd, waardoor er tekorten aan benzine bij tankstations ontstonden en de brandstofprijzen flink stegen. Ook hiervan worden Russische hackers verdacht, met de naam DarkSide.