De gemeente Hof van Twente heeft zijn systemen preventief offline gezet, en daarmee ook de website. Onder meer het uitgeven van paspoorten of rijbewijzen is nog maar beperkt mogelijk, schrijft de gemeente in een verklaring. Beeld ANP

Wat is er ook alweer aan de hand?

Donderdag kwam een zeer ernstig softwarelek aan het licht dat wereldwijd veel bedrijven en organisaties treft. In Apache Log4j, een veelgebruikt stukje software dat veranderingen bijhoudt, bijvoorbeeld of iemand is ingelogd, zit een kwetsbaarheid waardoor hackers delen van een computercode in de server kunnen plaatsen. Zo kunnen ze de servers relatief eenvoudig hacken.

Niet voor niets gaf het Nationaal Cyber Security Center (NCSC) direct de hoogste waarschuwing af: het gaat hier om een lek met een hoog risico én veel impact. Volgens CISA, het Amerikaanse agentschap voor cybersecurity, zijn waarschijnlijk honderden miljoenen apparaten kwetsbaar.

Welke gevolgen heeft dit lek al gehad?

Sinds donderdag zoeken hackers massaal naar kwetsbare servers, melden beveiligingsbedrijven. Volgens cyberbeveiliger Check Point is 44 procent van de bedrijfsnetwerken al doelwit geweest van een hackpoging via de kwetsbaarheid in Log4j.

Wanneer zo’n aanval slaagt, leidt dat momenteel vooral tot parasiteergedrag, meldt Sophos, een Brits bedrijf in beveiligingssoftware. Hackers stelen de computerkracht van kwetsbare servers om die te gebruiken voor de ingewikkelde berekeningen die nodig zijn om de betaalsystemen van cryptomunten draaiende te houden. Dit levert cryptomunten als beloning op.

Onder meer het cyberveiligheidsteam van de Zwitserse overheid heeft waargenomen dat computers aan kwaadaardige botnets zijn toegevoegd. Deze onderling verbonden computers kunnen enorme hoeveelheden internetverkeer genereren en zo websites of online diensten platleggen: een ddos-aanval.

De vrees is dat het hier niet bij blijft. Het lek maakt het ook mogelijk om servers te gijzelen door bestanden onleesbaar te maken. Hackers eisen na zo’n aanval met gijzelsoftware (ransomware) losgeld om de bestanden weer te ontsleutelen. Ook het stelen of verwijderen van data behoort tot de mogelijkheden.

Hoe reageren Nederlandse organisaties?

Ook hier zijn cyberveiligheidsteams in rep en roer. Volgens Het Financieele Dagblad overlegden op verzoek van het NCSC 275 cyberbeveiligers afgelopen zondag met elkaar over het lek en een mogelijke golf van aanvallen met gijzelsoftware.

Het NCSC adviseert organisaties zo snel mogelijk updates van het bedrijf Apache te installeren en op zoek te gaan naar systemen waar Log4j in zit, om de kwetsbaarheid weg te nemen. Tot nu toe is ‘beperkt actief misbruik’ waargenomen, aldus het NCSC. Hoe groot de schade uiteindelijk zal zijn, moet blijken.

De gemeente Hof van Twente heeft zijn systemen preventief offline gezet, en daarmee ook de gemeentelijke website. Onder meer het uitgeven van paspoorten of rijbewijzen is nog maar beperkt mogelijk, schrijft de gemeente in een verklaring. De systemen moeten, gevrijwaard van kwetsbaarheden, uiterlijk eind deze week weer online komen. Dat juist Hof van Twente zo voorzichtig reageert, is geen toeval: de IT-systemen van deze gemeente werden vorig jaar platgelegd door een aanval met gijzelsoftware.

Alle gemeenten lichten hun systemen door en nemen waar nodig maatregelen, zegt een woordvoerder van de Informatiebeveiligingsdienst Gemeenten (IBD). Sommige gemeenten hebben tijdelijk diensten of delen van websites uitgeschakeld. Volgens de woordvoerder zijn er nog geen aanvallen gemeld door gemeenten, maar wordt er wel veel ‘scanverkeer’ gesignaleerd: hackers die speuren naar kwetsbare plekken in websites.

Ook ABN Amro is bezig met het repareren van kwetsbaarheden in het computersysteem, zegt een woordvoerder. Daarbij worden applicaties soms tijdelijk uitgezet, maar daar hebben klanten volgens hem niets van gemerkt. ‘Wij zijn, ik denk net als veel andere bedrijven, al sinds donderdag 24/7 bezig om dit aan te pakken.’

In een eerdere versie van dit artikel leek het alsof Log4j vooral voor inloggen bedoeld is. De software houdt veranderingen bij en wordt veel breder ingezet.