Nieuws

Supermarktketen Coop sluit winkels in Zweden na cyberaanval door aan Rusland gelinkte hackers

De Zweedse supermarktketen Coop heeft bijna al zijn achthonderd winkels in het land tijdelijk moeten sluiten na een cyberaanval die de kassa’s lamlegde. Experts denken dat de hackers in Rusland zijn gevestigd. Moskou ontkent dat.

De cyberaanval op Coop zou passen in een golf van wereldwijde ransomware-aanvallen op bedrijven en openbare diensten. Beeld Hollandse Hoogte / AFP
De cyberaanval op Coop zou passen in een golf van wereldwijde ransomware-aanvallen op bedrijven en openbare diensten.Beeld Hollandse Hoogte / AFP

Coop heeft een marktaandeel van 20 procent in de Zweedse supermarktsector en een jaaromzet van 1,5 miljard euro. Het probleem hield volgens een Zweedse dochteronderneming van de IT-groep Visma verband met de grote cyberaanval die vrijdag werd uitgevoerd op het Amerikaanse bedrijf Kaseya, dat voor veel bedrijven de IT beheert. Die aanval werd uitgevoerd met zogeheten ransomware (gijzelsoftware), waarbij van klanten van Kaseya losgeld werd geëist.

De cyberaanval op Coop zou passen in een golf van wereldwijde ransomware-aanvallen op bedrijven en openbare diensten, vooral in de Verenigde Staten. De ransomware verlamt het computersysteem van een organisatie, die vervolgens opdracht krijgt losgeld over te maken naar de hackers als voorwaarde om verlost te worden van de ransomware.

Volgens beveiligingsbedrijf Emsisoft is in 2020 zeker 18 miljard dollar betaald aan ransomware-hackers. Sommige experts zijn van mening dat de hackers achter deze aanvallen in Rusland zijn gevestigd. Moskou ontkent elke betrokkenheid. Het was desalniettemin een van de punten die de Amerikaanse president Joe Biden aan de orde stelde tijdens zijn ontmoeting medio juni met de Russische president Vladimir Poetin.

Uitschakelen

Zaterdagochtend meldde persbureau Bloomberg op basis van informatie van het cyberbeveiligingsbedrijf Huntress Labs dat een aan Rusland gelinkte hackersgroep met een grootschalige cyberaanval ongeveer tweehonderd bedrijven heeft getroffen. De aanval zou zijn begonnen bij Kaseya. Het Nationaal Cyber Security Centrum in Den Haag roept bedrijven op het product VSA, dat wordt gebruikt voor beheer op afstand, uit te schakelen. Volgens het NCSC is het product breed in gebruik bij beheerpartijen die ICT-steun verlenen aan andere bedrijven.

Huntress Labs heeft inmiddels acht zogeheten managed service providers (dienstverleners) geïdentificeerd die kampen met ransomware-incidenten. Die maken allemaal gebruik van VSA. Volgens het cyberbeveiligingsbedrijf zijn de tweehonderd bedrijven klant bij deze managed service providers.

Hoewel nog niet vaststaat dat VSA de bron is van de aanval, raadt Kaseya in een verklaring op de website organisaties ten sterkste aan het direct uit te schakelen. Huntress Labs verwacht dat het aantal getroffen bedrijven nog sterk zal oplopen. In welke landen de bedrijven precies zijn getroffen is niet duidelijk, maar het gaat in elk geval om de Verenigde Staten en Zweden. Het losgeld dat de hackers vragen, kan volgens Huntress Labs bij sommige bedrijven oplopen tot 5 miljoen dollar.

‘Dit is een van de ingrijpendste - niet door een staat uitgevoerde - aanvallen die we ooit hebben gezien en het lijkt puur bedoeld om geld afhandig te maken’, zegt Andrew Howard van het Zwitserse Kudelski Security tegen Bloomberg. Volgens hem is er haast geen betere manier om schadelijke software (malware) te verspreiden dan via vertrouwde ICT-dienstverleners.

De groep die achter de hack zit, staat volgens cyberbeveiligingsbedrijf Recorded Future bekend als REvil. Die zat ook achter de hack bij vleesverwerkingsbedrijf JBS, waardoor vorige maand een aanzienlijk deel van de Amerikaanse vleesverwerkingsindustrie werd stilgelegd. Het bedrijf betaalde 11 miljoen dollar losgeld na de cyberaanval.

Die aanval kwam niet lang na een grote cyberaanval tegen het Amerikaanse Colonial Pipeline. Door die hack moest een belangrijke oliepijplijn tijdelijk worden platgelegd, waardoor er tekorten aan benzine bij tankstations ontstonden en de brandstofprijzen flink stegen. Ook hiervan worden Russische hackers verdacht, met de naam DarkSide.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden