Buitenlandse hostingbedrijven helpen cybercriminelen om hun activiteiten, zoals het uitvoeren van aanvallen met gijzelsoftware, vanuit Nederland te ontplooien. Anti-spamorganisatie Spamhaus zag de afgelopen maanden tientallen criminele activiteiten op de netwerken van deze hostingbedrijven.
Waarschuwingsbrief politie
In een brief gericht aan de internetsector waarschuwde de politie onlangs nog voor ongeveer 70 vaak buitenlandse resellers, bedrijven die serverruimte van hostingbedrijven doorverhuren. De serverruimtes worden gebruikt voor diverse illegale praktijken zoals het versturen van spam, het hosten van kinderporno en het uitvoeren van ransomware aanvallen. Carel Bitter van Spamhaus benadrukt dat het geen klein bier is wat er via deze resellers vanuit Nederland wordt uitgevoerd: “Het gaat hier niet om winkeldiefstallen, maar om de gewapende roofovervallen van de cybercrime”.
Gehackt door Ryuk
Zoals wat Marion van Limpt overkwam op dinsdagochtend 9 maart. Van Limpt, algemeen directeur van het in Helmond gelegen werkbedrijf Senzer, krijgt een verontrustend telefoontje van de ICT-afdeling. De computersystemen willen namelijk niet meer goed opstarten. “Dat vond ik wel vreemd dat ze mij daar direct voor belden”, zegt van Limpt. “Er gaat wel vaker iets mis met computers dus ik hoopte dat het gewoon een storing was.” Maar de hoop is tevergeefs, want als ze een kwartier later aankomt bij Senzer, is het goed mis. Het bedrijf is gehackt door Ryuk, een beruchte ransomware bende.
Ransomware, ook wel gijzelsoftware, is een computervirus dat alle bestanden in een computernetwerk kan versleutelen - gijzelen -. Je kunt dan alleen je bestanden terugkrijgen wanneer je losgeld betaalt in digitaal geld, de Bitcoin. Tegenwoordig kunnen dit soort virussen hele bedrijven platleggen en de bedragen die worden gevraagd zijn astronomisch, die kunnen oplopen tot in de miljoenen.
Serieuze cybercrime
Spamhaus is een organisatie die actief het internet afspeurt naar illegale activiteiten. Op verzoek van Pointer onderzocht Spamhaus de resellers op de lijst van de politie en bij een gedeelte van de resellers was voor de organisatie goed te zien wat zich afspeelde op de netwerken. “Het valt meteen op dat het om serieuze cybercrime gaat”, zegt Carel Bitter van de organisatie. De hoeveelheid geregistreerde issues die Spamhaus heeft van de resellers, is daarnaast ook nog eens betrekkelijk groot. “Het aantal issues overtijd bij deze resellers is vele malen hoger dan het aantal problemen op netwerken van legitieme hosters”.
Dit soort aanvallen verlopen vaak via Nederlandse servers. Uit een onlangs gepubliceerd onderzoek van computerbeveiligingsbedrijf Kaspersky blijkt dat Nederland onverminderd populair is voor cybercriminelen. Dit heeft te maken met de goede digitale infrastructuur; het internet is hier snel en goedkoop. Naar schatting zijn er hier zo’n 800 tot 2000 hostingbedrijven. Zij verhuren ruimte op computerservers om bijvoorbeeld een website op te draaien of voor het stallen van grote hoeveelheden van data. Een groot cluster aan huurders en internationale resellers (bedrijven die de ruimte weer doorverhuren) maakt daarvan gebruik.
Tussen deze resellers zitten ook foute bedrijven, die hun diensten aan cybercriminelen aanbieden. Zo kan het dat vanuit het buitenland, via Nederlandse legitieme hosters, ransomware of andere aanvallen worden uitgevoerd.
Voor Marion van Limpt was er nood aan de man. Werkbedrijf Senzer verzorgt voor zeven gemeenten binnen de arbeidsregio Helmond-De Peel de uitkeringen. Doordat het bedrijf gegijzeld is door ransomware lukt het op dat moment niet meer om de uitkeringen uit te betalen. “Dat betekent dan dat duizenden individuen hun geld niet krijgen. Dan kunnen mensen geen boodschappen doen of hun huur niet meer betalen. De impact is dan heel erg groot”, aldus Van Limpt. “Het was dus prioriteit nummer één om hier een oplossing voor te vinden.”
Foute resellers vervolgen
Het is erg lastig om deze resellers te vervolgen, niet alleen zitten ze bijna altijd in het buitenland maar is het wettelijk gezien ook nog eens erg lastig om te bewijzen dat deze bedrijven bewust criminelen faciliteren. Er is namelijk een Europese Verordening die stelt dat hostingbedrijven in principe niet aansprakelijk gesteld kunnen worden voor wat er op hun servers gebeurt. Met de brief gericht aan de Nederlandse hostingsector vraagt de Nationale Politie om hulp aan de hostingsector: “Is een van de personen of bedrijven op de lijst in uw klantenbestand te vinden? Herzie in dat geval de overeenkomst met deze klant. Wij vragen u om hulp bij het weren van dit soort tussenliggende partijen – de essentiële schakel voor cybercrime,” zo staat er in de brief.
Voor Senzer is het gelukkig goed gekomen. “We wisten de systemen tijdelijk open te breken”, vertelt Van Limpt. “Hierdoor konden we de betaalgegevens van de uitkeringsgerechtigden lospeuteren en konden ze op tijd hun uitkering ontvangen”. Ondanks dat bedrijven vaak losgeld moeten betalen, hoefde ze dit bij Senzer niet te doen. Door het terugzetten van een back-up, lukte het om de servers schoon te vegen. “We hebben geluk gehad”, concludeert Van Limpt.
De brancheorganisatie voor de hostingsector Dutch Cloud Community onderkent het probleem van de foute resellers die misbruik maken van de Nederlandse digitale infrastructuur. Verder laat de DCC weten het toe te juichen dat de politie het initiatief heeft genomen om al deze verdachte bedrijven te inventariseren.
Bron: nporadio1.nl, pointer.kro-ncrv.nl
Update 16 feb 2022
De VVD heeft minister Yesilgöz van Justitie en Veiligheid gevraagd om de aanpak van malafide resellers die servers van Nederlandse hostingbedrijven doorverhuren aan cybercriminelen. De politie verstuurde onlangs een brief naar Nederlandse hostingproviders waarin voor dergelijke malafide resellers werd gewaarschuwd. Berichtgeving over de brief is aanleiding voor VVD-Kamerlid Rajkowski om vragen (pdf) aan de minister te stellen. "Bent u het ermee eens dat het niet uit te leggen is dat via Nederlandse servers buitenlandse criminelen makkelijk hun gang kunnen gaan om vervolgens ernstige criminele activiteiten te plegen? Op welke manier kunt u ervoor zorgen dat malafide bedrijven minder kans krijgen om serverruimte van Nederlandse hostingbedrijven te kopen?", zo wil Rajkowski van Yesilgöz weten. De minister moet ook duidelijk maken op welke manier hostingbedrijven en de politie samenwerken om dit soort praktijken te voorkomen en of deze samenwerking kan worden verstevigd. Verder wil het VVD-Kamerlid weten om wat voor type criminele activiteiten het gaat en hoeveel schade die hebben veroorzaakt. Ook vraagt ze de minister welke acties hostingbedrijven na de waarschuwing van de politie hebben uitgevoerd. Yesilgöz heeft drie weken om te reageren.
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws over ransomware
Cybercriminelen blijven op het netwerk van slachtoffers actief
Cybercriminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan.
Universiteit Maastricht was niet goed voorbereid, maar wel adequaat in handelen op Cyberaanval
De Universiteit Maastricht was niet goed voorbereid op de aanval met ransomware, eind vorig jaar. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Inspectie van het Onderwijs na een onderzoek naar de toedracht.
Koninklijke Reesink: waarschijnlijk gaat het om miljoenen euro’s
De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval.
Ransomware legt autoproductie Honda wereldwijd plat
Autofabrikant Honda heeft wereldwijd verschillende producties stilgezet. Het bedrijf lijkt getroffen te zijn door een cyberaanval. De aard daarvan is niet duidelijk; er zijn geruchten dat het om ransomware gaat.
IT bedrijf moet ransomware schade door zwakke beveiliging betalen
Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.
6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware
De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.
"Ik heb Darkweb Ransomware gebruikt om mijn baas te saboteren"
Eenvoudige, schaalbare en laag-risico ransomware zorgt voor een bijzonder nette cybercriminaliteit. Tegenwoordig hoeven potentiële aanvallers niet eens hun eigen ransomware te maken; ze kunnen het gewoon op het darkweb kopen. Drake Bennett, verslaggever van Bloomberg-onderzoeken, schafte wat malware aan om te zien hoe gemakkelijk het was om een aanval uit te voeren.
REvil cyberaanval treft advocatenkantoor Hollywoodsterren
Het Amerikaanse advocatenkantoor 'Grubman Shire Meiselas & Sacks' dat onder andere Madonna, Bruce Springsteen, Lady Gaga, Drake, Elton John, Robert De Niro, LeBron James en tal van andere sterren vertegenwoordigt is afgeperst nadat aanvallers data van cliënten wisten te stelen en systemen versleutelden.
Ransomware kosten "verdubbelen" bij betaling aan cybercriminelen
Als een organisatie losgeld betaalt na een aanval met gijzelsoftware (ransomware), dan bedragen de herstelkosten gemiddeld 1,3 miljoen euro. Wordt er niet betaald, dan kost de aanval een bedrijf 'slechts' 675.000 euro. Dit blijkt uit een internationaal onderzoek van cybersecurity-specialist 'Sophos'.
Schade door ransomware bij it-dienstverlener tussen 50 tot 70 miljoen dollar
De Amerikaanse it-dienstverlener Cognizant die in april door de Maze-ransomware werd getroffen schat dat de schade door de aanval 50 tot 70 miljoen dollar zal bedragen. Dat liet het bedrijf bij de presentatie van de cijfers over het eerste kwartaal van dit jaar weten (zie hier onder). Waar de schade precies uit bestaat is nog niet bekendgemaakt. Mogelijk wordt dit in de cijfers over het tweede kwartaal vermeld.
LockBit-ransomware automatiseert zoektocht voor cybercriminelen
Aanvallen met ransomware gaan in 2020 onverminderd door. Hetzelfde geldt voor de ontwikkelingen in deze lucratieve vorm van malware. Daarmee maken deze het slachtoffers bovendien steeds moeilijker om géén losgeld te betalen. Alle nieuwste mogelijkheden op dit gebied lijken terug te komen in de 'LockBit-ransomware'.
Cyberaanval treft tapijtproducent
Het Dendermondse bedrijf Desso is onderdeel van de Franse vloerbekledingsgroep Tarkett, die sinds vorige week getroffen is door een aanval op zijn IT-systemen.