Het laatste nieuws

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor mkb en zzp.

Uit gezamenlijk onderzoek van cybersecuritybedrijven Fox-IT, Northwave en Responders, in het kader van project Melissa, zijn Nederlandse slachtoffers geïdentificeerd van de ransomwaregroepering ‘Cactus’.

Project Melissa is een samenwerking tussen het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse cybersecuritybedrijven.

Ransomwaregroep ‘Cactus’

Sinds eind 2023 zijn wereldwijd verschillende aanvallen van Cactus bekend. Omdat vanuit het samenwerkingsverband Melissa maandelijks ransomwarestatistieken onderling worden gedeeld, is gebleken dat er minimaal tien Nederlandse organisaties slachtoffer zijn van Cactus. Dit betreft de periode tot en met maart 2024. Om meer slachtoffers te voorkomen hebben de cybersecuritybedrijven Fox-IT, Northwave en Responders hun (technische) informatie in de vorm van ‘Indicators of Compromise’ (IOC’s) in april met elkaar gedeeld. Een IOC is een stukje informatie dat wijst op een mogelijke inbreuk op de beveiliging of een cyberaanval. Uit een gezamenlijke analyse waarbij ook securitybedrijf ESET Nederland werd betrokken, bleek dat de slachtoffers op steeds dezelfde manier werden aangevallen (gecompromitteerd). Een Qlik Sense-server, als onderdeel van de IT-omgeving, bleek bij alle slachtoffers niet te zijn voorzien van de laatste software-versie. Zo kon deze gebruikt worden door Cactus om ongeoorloofd binnen te dringen in de IT-omgeving van de slachtoffers. Het verkrijgen van toegang is een belangrijke eerste stap voor de uitvoering van een geslaagde ransomware-aanval.

Identificatie en notificatie Nederlandse organisaties

Fox-IT heeft vervolgens door middel van ‘fingerprinting‘ geïdentificeerd welke servers kwetsbaar, of mogelijk al misbruikt zijn door Cactus, en vervolgens hierop het internet gescand. De resultaten hiervan zijn gedeeld met het Dutch Institute for Vulneability Disclosure (DIVD), het NCSC en het Digital Trust Center (DTC). Hierop zijn door het DTC de Nederlandse bedrijven op de hoogte gebracht, zodat ze (tegen)maatregelen konden nemen om deze kwetsbaarheid te verhelpen. Door het zo snel mogelijk bijwerken van de Qlik Sense-server is het voor de cybercriminelen niet meer mogelijk om het netwerk van het potentiële slachtoffer binnen te dringen, waardoor een ransomware-aanval kan worden voorkomen. Daarnaast zijn verschillende buitenlandse Computer Security Incident Response Teams (CSIRTs) door DIVD geïnformeerd en buitenlandse politiediensten door de Nederlandse politie over de kwetsbare servers en de bijbehorende IP-adressen. Zij kunnen op hun beurt organisaties informeren om de kwetsbaarheid zo snel mogelijk te verhelpen. Onderzoek vanuit Melissa wijst uit dat er wereldwijd zo’n 5.200 Qlik Sense-servers te benaderen zijn via het internet, waarvan er meer dan 3.100 kwetsbaar zijn. De samenwerking heeft dus in potentie maximaal 3.100 slachtoffers van ransomwaregroepering Cactus helpen voorkomen. Van de 3.100 kwetsbare servers zijn er wereldwijd al 122 uitgebuit (door aannemelijk Cactus), waarvan ook verschillende in Nederland.

“Deze ontdekking onderschrijft het belang van het goed samenwerken in het cybersecuritydomein. Het onderling vertrouwen door initiatieven zoals project Melissa is zeer significant toegenomen, waardoor het beter dan ooit mogelijk is die gezamenlijke vuist tegen cybercriminaliteit te vormen.”, aldus forensisch IT-expert Willem Zeeman van Fox-IT.

…

Bereid je voor op NIS2

De NIS2-Quickscan is een zelfscan voor organisaties die straks onder aan de NIS2-regels vallen en willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die helpen bij het voorbereiden op de NIS2.
Vragen over de NIS2? Op het online securityplatform DTC Community delen ruim 4.000 professionals en ondernemers kennis hierover uit. Meld je ook aan.