Ransomware-aanvallen zijn aan de orde van de dag en hackersgroepen worden steeds groter, machtiger en slimmer. Daarom is cybersecurity belangrijker dan ooit. Deze acht spraakmakende cyberaanvallen van de afgelopen jaren laten zien waarom.
1. Ransom-aanval Hof van Twente
Wat gebeurde er?
Criminelen drongen eind 2020 binnen in de systemen van gemeente Hof van Twente. Hun ransomware versleutelde 30 terabyte aan bestanden en de daders eisten grote bedragen in bitcoin. De gemeente betaalde niet.
Hoe ging de aanval in zijn werk?
De cybercriminelen kwamen de gemeentelijke systemen binnen via een server die toegankelijk was via internet. Via een brute-force-aanval kwamen ze achter het – makkelijk te raden – wachtwoord: Welkom2020. De gemeente monitorde niet wie het systeem binnenkwam via de server. Eenmaal binnen hadden de cybercriminelen toegang tot bijna alle systemen, die te weinig in compartimenten verdeeld waren.
Wat was de schade?
Van de 124 servers werden er 89 gewist en 5 versleuteld, inclusief een back-upserver. De aanval kostte de gemeente 3 à 4 miljoen euro en jaren werk om alles weer te herstellen. Tot nu toe lijkt het erop dat er geen informatie van burgers op straat is komen te liggen.
2. Citrix
Wat gebeurde er?
De Amerikaanse Softwaregigant Citrix – wereldwijd ongeveer 400.000 klanten – ontdekte eind 2019 een grote kwetsbaarheid in een aantal producten. Daardoor zouden cybercriminelen toegang kunnen krijgen tot interne netwerken van klanten. Dat gebeurde onder meer bij het US Census Bureau (het Amerikaanse Bureau voor Statistiek) en in Nederland bij Medisch Centrum Leeuwarden (MCL).
Hoe ging de aanval in zijn werk?
De kwetsbaarheid gaf indringers de mogelijkheid om interne netwerken te infecteren met bijvoorbeeld ransomware. Bij het US Census Bureau en het MCL lukte de aanval gedeeltelijk. Doordat de patch even op zich liet wachten, hadden indringers tijd om systemen binnen te komen zonder dat de slachtoffers er erg in hadden. Zij waanden zich veilig toen de kwetsbaarheid eenmaal wél gepatcht was, terwijl de cybercriminelen al in hun systemen zaten. Daar zitten ze nu soms nog steeds. Men schatte in dat een half jaar nadat de kwetsbaarheid aan het licht kwam, nog zeker 25 Nederlandse bedrijven waren geïnfecteerd via het lek.
Wat was de schade?
Een groot deel van de schade werd veroorzaakt door maatregelen die bedrijven en instellingen halsoverkop moesten nemen, zoals het volledig afsluiten van hun Citrix-servers. Dat had grote gevolgen voor het functioneren en de dienstverlening van partijen als de Rijksoverheid, Schiphol en grote energiebedrijven.
3. Cyberaanval VDL
Wat gebeurde er?
De Eindhovense industriële multinational VDL Groep kreeg afgelopen najaar te maken met een grootschalige cyberaanval. Alle 105 bedrijven die tot het concern behoren, hadden last van de aanval: zo kwamen productielijnen korte tijd stil te liggen, bijvoorbeeld die van autoproducent VDL NedCar in Born.
Hoe ging de aanval in zijn werk?
Om toekomstige pogingen tot cyberaanvallen niet te vergroten is er geen nadere informatie verstrekt inzake de recente hack bij VDL Groep. Volgens het AD zeggen bronnen rond het concern dat het gaat om een ransomware-aanval van het centrale IT-systeem.
Wat was de schade?
Volgens VDL zelf is ‘door adequaat optreden van onze medewerkers de schade beperkt gebleven tot maximaal één dag verlies aan data’. De impact van de exacte kosten die gepaard gaan met de aanval zullen in de loop van het eerste kwartaal van 2022 worden vastgesteld, aldus VDL. Het bedrijf herbouwt de IT-omgeving met data uit schone en tijdig veiliggestelde back-ups. Het AD schat in dat het omzetverlies al snel in de miljoenen loopt. Ook klanten van VDL, onder meer ASML en Philips, hebben schade opgelopen door de aanval.
4. Datadiefstal GGD-coronasystemen
Wat gebeurde er?
Vertrouwelijke gegevens uit twee GGD-systemen rond de coronabestrijding werden illegaal verkocht. Op die manier kwamen woon- en mailadressen en telefoon- en BSN-nummers terecht bij cybercriminelen.
Hoe ging de aanval in zijn werk?
De gegevens zijn te vinden in de GGD-systemen met de registratie van coronatesten en informatie over bron- en contactonderzoek. Medewerkers van de GGD en anderen die toegang hadden tot de makkelijk te exporteren data, werden omgekocht om de gegevens of de inloggegevens tot de systemen beschikbaar te maken. Via chatdiensten werden ze te koop aangeboden. Volgens RTL Nieuws, dat de datadiefstal begin 2021 ontdekte, kostten de gegevens van een specifieke persoon tussen de 30 en 50 euro. Ook verkochten GGD-medewerkers complete datasets.
Wat was de schade?
Volgens de GGD zijn de gegevens van zo’n 1.250 Nederlanders onbevoegd ingezien, gestolen en mogelijk doorverkocht. Cybercriminelen maken daarvan gebruik voor het plegen van bijvoorbeeld identiteitsfraude of phishing. Het daadwerkelijke aantal is volgens RTL Nieuws echter veel groter. De GGD heeft ondertussen maatregelen genomen om herhaling te voorkomen, maar volgens de Autoriteit Persoonsgegevens bestaan er nog steeds ‘wezenlijke risico’s’.
Cyber Security Checklist
Wil jij weten hoe het met de cybersecurity van jouw bedrijf gesteld is? Download de checklist en ontdek wat je (nog meer) kunt doen!
Download5. WannaCry ransomware-aanval
Wat gebeurde er?
Duizenden bedrijven en organisaties in 150 landen werden het slachtoffer van de ransomware cryptoworm WannaCry. Die versleutelde hun data en de cybercriminelen eisten tussen de 300 en 600 dollar aan Bitcoin om dat ongedaan te maken.
Hoe ging de aanval in zijn werk?
De cybercriminelen maakten gebruik van een beveiligingslek in Microsoft Windows. Een Amerikaanse veiligheidsinstantie ontwikkelde een hack om het lek aan te tonen, maar lichtte Microsoft daarover niet in. De hack kwam in handen van cybercriminelen. Microsoft kwam op tijd met een patch, maar veel bedrijven pasten die niet op tijd toe. Daardoor konden de daders hun ransomware binnen laten dringen en zich laten vermenigvuldigen – het kenmerk van een cryptoworm.
Wat was de schade?
Volgens Europol liep het aantal geïnfecteerde computers op tot 200.000. Grote bedrijven als Renault, FedEx en de Britse National Health Service werden gedupeerd. Artsen en verpleegkundigen in Engelse ziekenhuizen konden daardoor belangrijke bestanden niet meer raadplegen en autofabrieken kwamen stil te liggen. In Nederland werden enkele kleinere bedrijven het slachtoffer.
6. Ransomware-aanval Universiteit Maastricht
Wat gebeurde er?
Een ransomware-aanval legde eind 2019 de Universiteit Maastricht digitaal plat: back-upservers werden getroffen, naast kritieke systemen: mail- en fileservers met onder meer onderzoeksdata.
Hoe ging de aanval in zijn werk?
De aanvallers kwamen binnen via phishingmails, met links die door twee medewerkers werden aangeklikt. Een van de gebruikers maakte zelfs melding van de mail, maar toen was het al te laat. Op een melding van het antivirussysteem werd niet afdoende gereageerd. De indringers namen twee maanden de tijd om het netwerk van de Universiteit in kaart te brengen, waarna ze hun ransomware uitrolden en de data van 267 servers vergrendelden. Ze lieten een kaartje met contactinformatie achter.
Wat was de schade?
“Je zit in een klemmende situatie”, vertelde vice-president Nick Bos van de UM aan EenVandaag. “Je hebt 25.000 studenten en 5.000 medewerkers die niet bij hun bestanden kunnen en ernstige achterstanden kunnen oplopen.” De UM besloot daarom het gevraagde losgeld van 30 Bitcoin (in die tijd zo’n 200.000 euro) te betalen.
7. Datalek RDC
Wat gebeurde er?
Privégegevens van miljoenen autobezitters in Nederland verdwenen in het voorjaar 2021 uit de database van RDC, een ICT-dienstverlener voor autobedrijven. Ze werden wereldwijd illegaal te koop aangeboden voor 35.000 dollar.
Hoe ging dat in zijn werk?
De oorzaak van het lek zat volgens RDC in de eigen applicatie Caremail, waarmee garagehouders met klanten communiceren over bijvoorbeeld afspraken en APK’s. “Wij vermoeden dat het lek zit in de exportfunctionaliteit van Caremail. De mogelijkheid om in dit systeem data te exporten en op te vragen is dan ook voorlopig afgesloten”, lichtte een woordvoerder in maart toe op Computable. Van een hack was volgens het bedrijf geen sprake.
Wat was de schade?
Datasets van miljoenen NAW-gegevens, mailadressen, telefoonnummers en kentekens werden te koop aangeboden op een hackersforum. RDC zegt dat het gaat om gegevens van tussen september 2018 en januari 2019. Volgens beveiligingsexperts is de informatie vooral interessant voor autodieven, die ermee te weten komen waar dure auto’s te halen zijn.
8. Kaseya
Wat gebeurde er?
Een massale ransomware-aanval door de Russische hackersgroep REvil afgelopen zomer op het Amerikaanse softwarebedrijf Kaseya, dat diensten levert aan duizenden bedrijven over de hele wereld. Daarmee kreeg de groep toegang tot de systemen van zo’n 1.500 van die bedrijven, versleutelde data en eiste in totaal bijna 59 miljoen euro losgeld om dat terug te draaien.
Hoe ging de aanval in zijn werk?
Vlak voor het weekend van Independence Day sloegen de aanvallers toe en gebruikten een kwetsbaarheid in een programma om computersystemen van klanten op afstand te beheren. Op die manier konden ze ransomware in de systemen van gebruikers van de Virtual System Administrator van Kaseya terecht laten komen.
Wat was de schade?
Bij getroffen bedrijven kwamen processen plat te liggen. De Zweedse supermarktketen Coop moest zijn 800 winkels bijvoorbeeld een week lang sluiten. Ook in Nederland werden honderden bedrijven slachtoffer. Wie uiteindelijk losgeld heeft betaald, is niet bekend. De daders ondervonden ook de nodige impact van hun eigen actie. REvil lijkt kort na de aanval in rook te zijn opgegaan, wellicht bang voor de intensieve opsporingsacties die momenteel aan de gang zijn. Toch zijn er met hulp van KPN inmiddels 5 cybercriminelen van REvil opgepakt.
Is jouw bedrijf goed voorbereid op elke cyberaanval? Download ons eBook Cybersecurity voor het mkb en lees wat de 15 meest voorkomende valkuilen zijn bij bedrijven, en hoe je deze kunt voorkomen.
