Diverse bedrijven grijpen hard in en zetten uit voorzorg webapplicaties uit. Verschillende gemeenten hebben dat nu al gedaan. Ook ABN Amro bevestigt tegenover de krant een deel van zijn systemen te hebben uitgeschakeld. IT-beveiligers zeggen bij de NOS dat het slechts een kwestie van dagen zal zijn voor er ransomware-aanvallen plaatsvinden die veel systemen tegelijk kunnen grijpen.
Wat is het probleem?
Een groot beveiligingsprobleem in een vrij onbekend softwarepakket met de naam 'Log4j' leidt tot veel hoofdbrekens bij beveiligingsexperts. Het softwarepakket is alomtegenwoordig, waardoor veel bedrijven - en daarmee ook hun klanten - kwetsbaar zijn. Maar de precieze impact zal pas later duidelijk worden.
De angst is dat bedrijven slachtoffer worden van ransomware, of dat data van klanten gestolen zullen worden. Het is verleidelijk om te denken dat dat misschien meevalt, nu na vier dagen nog geen gevallen bekend zijn van gehackte bedrijven.
Maar die kans op een meevaller lijkt klein. "Nee, ik denk niet dat dit met een sisser gaat aflopen", zegt beveiligingsexpert Frank Groenewegen van Deloitte. "Aanvallers zijn momenteel druk bezig om te bedenken hoe ze het probleem het best kunnen misbruiken."
Dat denkt ook beveiligingsonderzoeker John Fokker van McAfee, wiens weekend net als dat van veel collega's in het teken stond van het nieuws over het beveiligingsprobleem. "Nu zijn aanvallers nog op zoek naar potentiële slachtoffers. Over een paar dagen of weken zul je de eerste ransomware-slachtoffers zien."
Waarom 'Log4j' kwetsbaarheid zo gevaarlijk is
Het beveiligingsprobleem zit in een softwarepakket dat massaal blijkt te worden gebruikt en is bedoeld om zogenoemde logboeken bij te houden. Veel softwarepakketten doen dat: op die manier kan de activiteit van een computersysteem worden bijgehouden en kunnen fouten worden ontdekt en zelfs 'hack aanvallen' worden geregistreerd. In dit geval kan een aanvaller eigen programmeercode uitvoeren door een fout in het softwarepakket.
Hof van Twente zet systemen preventief offline. Meer weten? Klik hier 👉 https://t.co/ZJ0isQ7o6Y (je wordt doorgelinkt naar onze Facebook pagina). pic.twitter.com/rulFMVKgqz
— Hof van Twente (@gemhofvantwente) December 13, 2021
Veel andere softwarepakketten blijken 'Log4j' te gebruiken om hun logboeken bij te houden. Dus nu er een ernstig lek in het pakket is ontdekt, zijn in één keer ook ontzettend veel bedrijven in potentie kwetsbaar. Wel verschilt de precieze impact en de manier waarop het lek kan worden misbruikt per bedrijf.
Ook grote bedrijven als Apple, Amazon en Tesla zijn nu dus ook kwetsbaar voor het vrijdag ontdekte probleem. En ook grote softwarepakketten, die op hun beurt weer door ontzettend veel bedrijven en organisaties worden gebruikt, hebben het probleem aan boord, soms ook zonder dat ze het weten.
"Ik denk dat vrij weinig mensen doorhebben hoe diep dit gaat", zegt onderzoeker Cas van Cooten, ook van Deloitte. Hij slaagde erin Apple te 'hacken' door de naam van zijn iPhone te veranderen. Door programmeercode in zijn telefoonnaam te zetten, leidde hij een Apple-server om de tuin en werd er een onschuldig signaaltje verstuurd naar een server die Van Cooten uitkoos. Een kwaadwillende zou ernstigere zaken voor elkaar kunnen krijgen.
A story in three parts 😶 #log4j pic.twitter.com/XMl02BcaJY
— Cas van Cooten (@chvancooten) December 10, 2021
'Log4j' kerstcadeau cybercriminelen
Het probleem zit hem in een logsysteem van web- en applicatieservers. Aanvallers kunnen via dit probleem ongewenste opdrachten uitvoeren op de systemen van organisaties. Ook kunnen ze met een simpele opdracht zien of systemen kwetsbaar zijn om vervolgens een aanval uit te voeren. De kerstvakantie is traditiegetrouw een periode dat aanvallers toeslaan, omdat er dan minder personeel beschikbaar is. Met deze timing in het achterhoofd, verwachten deskundigen grote problemen op zeer korte termijn.
Nu al wordt malware uitgezaaid die ervoor zorgt dat rekenkracht wordt ingepikt om cryptovaluta te minen. Dat is vooral vervelend, maar legt systemen meestal niet plat. De grotere angst is voor ransomware die via dit gat naar binnensluipt.
Uniek of niet?
Dat er in één keer zo veel bedrijven en computersystemen kwetsbaar zijn voor één probleem, is vrij uniek. Tegelijkertijd waren er in het verleden ook beveiligingsproblemen die sneller tot problemen leidden. Zo werden deze zomer in één keer veel bedrijven getroffen door ransomware, nadat een beveiligingsprobleem in het programma Kaseya was gevonden. Dat wordt veel gebruikt door ict-beheerders om op afstand computers te beheren.
Dat was een enorm krachtig lek: als een systeem kwetsbaar was, kon je als aanvaller meteen op zogenoemd beheerdersniveau ingrijpen en bijvoorbeeld ransomware uitvoeren. Dat is in dit geval niet zo.
"Het bijhouden van logboeken gebeurt op een lager niveau", legt Groenewegen uit. Daardoor kan een aanvaller in eerste instantie minder, en moet hij zoeken naar manieren om meer bevoegdheden te krijgen.
Maar iedereen in het 'cyberwereldje' is het erover eens: het is een kwestie van tijd tot mensen dat lukt. Daarom moeten bedrijven nu snel aan de slag, stelt ook het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid. Fokker: "Hoe langer je wacht, hoe groter de kans dat iemand erin slaagt om dit te misbruiken."
Vaisha Bernard, mede-oprichter van beveiligingsbedrijf EYE, denkt dat de aanvallers op een bepaald moment in één keer kunnen toeslaan. "Bijvoorbeeld een paar dagen voor Kerst." Dan is er minder personeel aanwezig en veroorzaakt een aanval met bijvoorbeeld ransomware veel meer schade. Het overkwam twee jaar geleden nog de Universiteit Maastricht.
Een gevaar daarbij is dat bedrijven over het hoofd zien dat ze 'Log4j' ergens gebruiken, zonder dat ze het weten. "Het is alsof er ergens een ingrediënt van een fabrikant dat in heel veel producten zit opeens niet in orde blijkt te zijn", zegt Groenewegen.
Groot verschil met de voedselindustrie is dat daarbij beter minutieus wordt bijgehouden welk ingrediënt in welk product zit. Hoewel het NCSC samen met onderzoekers in allerijl een lijst met kwetsbare producten heeft opgesteld, is dat volledige overzicht er voor software niet.
Ook een probleem is dat veel software zoals deze - die door ontzettend veel bedrijven wordt gebruikt, van overheden tot tech-giganten - door vrijwilligers in hun vrije tijd wordt onderhouden. Groenewegen: "Miljoenenbedrijven zijn dan afhankelijk van het werk van een paar vrijwilligers. Dat is toch ook bizar?"
Dependency https://t.co/xmiOCImBUD https://t.co/r7hiO0fMm6 pic.twitter.com/6YyAu0WUwC
— XKCD Comic (@xkcdComic) August 17, 2020
Bron: @xkcdComic, github.com, @chvancooten, @gemhofvantwente, cmweb.nl, nos.nl
‘Apache Log4j’ gerelateerde artikelen 》
Actuele aanvallen overzicht per dag 》
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Tien soorten phishing aanvallen
Cybercriminaliteit is een onderdeel van ons dagelijks leven geworden en cybercriminelen grijpen elke kans om misbruik te maken van onwetende slachtoffers, met als doel: toegang krijgen tot persoonlijke informatie voor financieel gewin. Opleiding en training in cybersecurity kunnen het verschil maken tussen een geslaagde of een mislukte poging van een cybercrimineel.
Spyware op computer of smartphone? Hoe verwijderen?
Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.
Het Wachtwoorden als ‘beveiliging’
Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.
‘Het harde uitgangspunt om nooit te betalen is gevaarlijk. Als de situatie erom vraagt kun je dat soms beter wel doen’
Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Dat klinkt stoer, maar blijkt een gevaarlijke strategie. Sinds een recente aanval op de gemeente Buren liggen van inwoners financiële gegevens, en informatie over drugs- en psychische problemen, op straat.
Veranderingen dreigingslandschap na Russische invasie in Oekraïne
Vorige week verscheen het 'Eset Threat Report' over het eerste trimester van 2022. Het Threat Report omvat belangrijke statistieken en trends over het huidige dreigingslandschap op basis van detectiesystemen en digital securityonderzoek. De nieuwste uitgave van het Threat Report geeft een overzicht van de verschillende cyberaanvallen in verband met de aanhoudende oorlog in Oekraïne die onderzoekers analyseerden of hielpen te beperken, waaronder de wederopstanding van de beruchte Industroyer malware, die probeerde hoogspanningsstations aan te vallen.
Overzicht cyberaanvallen week 22-2022
Ransomware-bende hackt nu bedrijfswebsites om losgeldnota's te tonen, Conti ransomware richt zich op Intel firmware voor stealthy aanvallen, en 10.000 QNAP-eigenaren gewaarschuwd dat NAS vanaf internet toegankelijk is. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 212 week 22-2022
Nederlanders gevaarlijk zelfverzekerd over cyberveiligheid, LinkedIn als start van social engineering en spear-phishing en 10 jaar gevangenis en tbs voor 'Mr. Dark’. Dit en meer lees je in nieuwsbrief 212.
10 jaar gevangenis en tbs voor 'Mr. Dark'
De 35-jarige Michael M., alias 'Mr. Dark', is donderdag veroordeeld tot tien jaar cel en tbs met dwangverpleging voor het afpersen en misbruiken van tien minderjarige meisjes en het handelen in extreme verkrachtings- en seksvideo's. Het Openbaar Ministerie (OM) had twaalf jaar cel en tbs met dwangverpleging geëist.
Staatshackers hadden maandenlang ongemerkt toegang tot de computersystemen van Nederlandse bedrijven uit de lucht-, ruimtevaart- en defensiesector
Noord-Koreaanse staatshackers hadden maandenlang ongemerkt toegang tot de computersystemen van Nederlandse bedrijven uit de lucht-, ruimtevaart- en defensiesector. Daarbij is waarschijnlijk hoogwaardige kennis buitgemaakt. De daders probeerden ook geld te stelen, maar dat mislukte. Dat blijkt uit onderzoek van cybersecuritybedrijf ESET.
Servers uit de lucht na onderzoek 'WeLeakInfo'
De Nederlandse politie heeft in nauwe samenwerking met de politie in België en de FBI een onderzoek gedraaid rond de online verkoop van gestolen inloggegevens en het faciliteren van DDoS aanvallen tegen betaling. Dinsdag is in België een verdachte aangehouden en zijn er huiszoekingen gedaan waarbij gegevensdragers en communicatiemiddelen in beslag zijn genomen. Tegelijkertijd zijn de criminele websites offline gehaald en de onderliggende ICT-infrastructuur in beslag genomen en ontoegankelijk gemaakt.
Politie stopt internationaal verspreiding FluBot malware
De Nederlandse politie heeft vorige maand de infrastructuur van de beruchte Android-malware FluBot verstoord, waardoor de malware niet meer werkt. Het uitschakelen van FluBot was het resultaat van een internationale politieoperatie waar naast de Nederlandse politie onder andere ook Europol, de United States Secret Service en Belgische politie aan deelnamen.
203 verdachten aangehouden in internationaal onderzoek “Operation SKEIN”
Het Rotterdamse cybercrimeteam (CCT) speelde een sleutelrol in een groot internationaal fraude- en witwasonderzoek genaamd “Operation SKEIN”. Op 30 mei 2022 werden in Dublin een 27-jarige man en een 25-jarige vrouw aangehouden door de Ierse politie op verdenking van witwassen en deelname aan een criminele organisatie. Het totaal van de aanhoudingen komt hiermee op 203 verdachten.