De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval.
Alle netwerken wereldwijd
Daarop is besloten om alle netwerken wereldwijd stil te leggen, bevestigt marketingmanager Judith Dijkstra aan de Volkskrant. Bij een aanval met gijzelsoftware – ook wel ransomware genoemd – zoeken hackers eerst een manier om een bedrijf te infecteren. Dat kan door middel van een phishingmail. Als ze binnen zijn, proberen ze handmatig het netwerk over te nemen. Ze gaan daarbij op zoek naar de backup-systemen van een bedrijf: als die ook te gijzelen zijn, is een bedrijf gedwongen om losgeld te betalen. Door middel van een back-up met bedrijfsgegevens kan een bedrijf de systemen resetten. Dat gaat niet als de aanvallers de back-up óók gijzelen. Beveiligingsexperts adviseren daarom altijd om drie versies van de eigen data op te slaan. Op minimaal twee verschillende systemen waarbij één back-up niet verbonden is met het bedrijfsnetwerk.
Goed beveiligd, maar toch binnengekomen
‘We zijn goed beveiligd, maar toch zijn ze ergens binnengekomen', vertelt Judith Dijkstra van het Apeldoornse bedrijf met 2500 medewerkers dat in 2003 het predicaat ‘Koninklijk’ kreeg. Royal Reesink is een internationale distributeur en serviceverlener van machines voor onder meer landbouw, interne logistiek en grond- weg en waterbouw. De impact op het bedrijf is volgens Dijkstra ‘enorm'. Royal Reesink heeft Northwave, een digitaal beveiligingsbedrijf, ingeschakeld om de gijzelsoftware van de systemen te halen en het netwerk weer op te bouwen. Dijkstra: ‘We dachten dat alles prima op orde was. Toch bleek er ergens een klein gaatje in de beveiliging te zitten. Daar hebben de aanvallers gebruik van gemaakt. Het is gewoon domme pech.’
Eerste kwartaal 90 duizend euro
Aanvallen met gijzelsoftware nemen al jaren toe en zijn lucratief voor de aanvallers. In het eerste kwartaal van 2020 steeg het gemiddelde bedrag dat getroffen bedrijven betaalden met 33 procent naar ruim 100 duizend dollar (90 duizend euro), volgens een analyse van het Amerikaanse onderzoeksbureau Coveware.
Aantrekkelijk verdienmodel
Achter de gijzelsoftware zit een aantrekkelijk verdienmodel: de software wordt als service te koop aangeboden op het darkweb – het gedeelte van het internet dat met een speciale browser te bereiken is en waar gebruikers anoniem zijn. Criminelen kunnen zich abonneren op zo’n service en als het ze lukt om een bedrijf te gijzelen, deelt de maker van de software in de winst. Criminelen selecteren hun slachtoffers zorgvuldig: bij voorkeur productiebedrijven waarbij de kosten snel oplopen als het werk stilligt.
Honderden jaren duren
Een succesvolle infectie is haast niet te bestrijden. Als het bedrijfsnetwerk eenmaal overgenomen en goed versleuteld is, is het onmogelijk om zonder decryptiesleutel weer bij bestanden te kunnen. Als je computergestuurd de code wilt kraken zou dat honderden jaren duren om de versleuteling ongedaan te maken. Ook Royal Reesink heeft waarschijnlijk moeten betalen, maar het bedrijf doet daar geen uitspraak over. Het bedrijf is verzekerd voor aanvallen met gijzelsoftware. Hoe groot de schade precies is, kan Dijkstra niet zeggen. ‘Het onderzoek loopt nog.’ Waarschijnlijk gaat het om miljoenen euro’s.
Ingenieuzer wijze
Criminelen die gijzelsoftware maken, doen dat op steeds ingenieuzer wijze. Onlangs troffen onderzoekers van Northwave in Brabant LockBit aan. Gijzelsoftware die, als er eenmaal toegang is tot een bedrijf en de aanvallers beheerdersrechten hebben, zich automatisch verspreidt in een netwerk. Als ‘een worm’ die op zoek gaat naar computers om te infecteren. Dijkstra: ‘We zijn nu met man en macht aan het werk om de back-ups terug te zetten.’ Sinds kort zijn de belangrijkste systemen weer online.
Bron: Volkskrant / Huib Modderkolk