Softwaregigant ontvangt ‘sleutel’ na wereldwijde cyberaanval waarbij hackers 70 miljoen eisten

De Amerikaanse leverancier van ict-beheersoftware, Kaseya, heeft de ‘sleutel’ ontvangen waarmee meer dan 1000 bedrijven wereldwijd weer in hun systemen kunnen nadat deze begin juli werden gegijzeld. De ransomware-aanval kwam toen van de hackersgroep REvil, die via Kaseya de systemen van haar klanten binnendrong en daarna 70 miljoen dollar losgeld eiste.

Techredactie 22-07-21, 22:20 Laatste update: 12-08-21, 20:42

Kaseya-woordvoerder Dana Liedholm zei vandaag tegen persbureau AP dat de sleutel is ontvangen, zonder te willen zeggen hoe dat was gebeurd en of er losgeld is betaald. De sleutel kwam gisteren via ‘een te vertrouwen derde partij’ bij het in Miami gevestigde bedrijf terecht, was alles wat ze kwijt wilde.

Analisten breken zich nu het hoofd over de mogelijke scenario's waarmee Kaseya de sleutel tot de gegijzelde bestanden heeft verkregen. De aanval werd rond 2 juli toegeschreven aan een aan Rusland gelinkte groep criminelen die zich REvil noemen. Ook Nederlandse bedrijven werden het slachtoffer van REvil, dat enkele dagen na de hack 70 miljoen dollar vroeg, zodat iedereen ‘in minder dan een uur’ de gevolgen van de aanval kon herstellen. Heeft Kaseya dan betaald? Heeft er een regering betaald? Hebben enkele slachtoffers gezamenlijk geld verzameld? Heeft het Kremlin na alle internationale druk (onder andere van de VS) ingegrepen en de sleutel via-via verstrekt?

Of heeft de hackgroep zelf de handdoek in de ring gegooid? Op 13 juli leek de groep opeens van het internet verdwenen. De website waar de cyberbende kleine beetjes gestolen gegevens van slachtoffers publiceert als drukmiddel, was uit de lucht en de leden van de groep hielden zich opeens stil op allerlei fora.

Veel kleine bedrijven de dupe

De gijzelsoftware werd verspreid via zogeheten VSA-software van de Amerikaanse softwareleverancier Kaseya. VSA wordt veel gebruikt door IT-dienstverleners, die dit programma gebruiken om systemen van hun klanten op afstand te onderhouden en te beheren. Kaseya heeft zo’n 37.000 klanten. Het bedrijf schatte in juli in dat tot 60 daarvan door de gijzelsoftware geïnfecteerd was. Met name kleine bedrijven, zoals tandartspraktijken en bibliotheken waren de dupe, klonk het vermoeden.

Waarschijnlijk hebben de meeste slachtoffers van de aanval hun netwerken daarna herbouwd en/of ze hersteld via backups. Volgens woordvoerder Liedholm is sprake van situaties die per bedrijf verschillen. ,,Sommigen hebben sindsdien echt alles stilgelegd.’’ Ze kon geen schatting geven van de schade en wilde ook niet reageren of er klanten rechtszaken voorbereiden tegen Kaseya. Ook is niet duidelijk of er slachtoffers van de aanval losgeld hebben betaald voordat REvil verdween.

De hackgroep zou in juni ook achter de hack bij het Amerikaanse vleesverwerkingsbedrijf JBS zitten, waardoor een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.

Lees ook: Op een haar na voorkwamen Nederlandse vrijwilligers wereldwijde cyberaanval van Russische criminelen (Premium)