Afvalverwerker Omrin weet nog niet of de Russische hackersgroep die ze aanviel nog meer gevoelige gegevens in handen heeft. „Dat onderzoek loopt nog”, vertelt directeur John Vernooij.
Op zondag 12 oktober werd Omrin getroffen door een grootschalige ransomeware-aanval. In dagen erna gingen recyclingwinkels tijdelijk dicht en waren de afvalapp en bijbehorende kalender niet bereikbaar. Recent publiceerden de hackers gevoelige gegevens van medewerkers, die waren gestolen tijdens de cyberaanval.
Bij ransomware worden computers in een netwerk op slot gezet, waardoor niemand ze meer kan gebruiken. De dader belooft de systemen weer vrij te geven als er een bedrag aan losgeld wordt betaald. Het is vooralsnog onbekend wat de hackers hebben geëist en of Omrin uiteindelijk heeft betaald.
Drie acties
Na het ontdekken van de ransomware werden er drie dingen gedaan, vertelt financieel directeur Tedo Rijm die tevens het crisisteam tijdens de lopende cyberaanval leidt. „Eerst wilden we zorgen dat we de maandag na de cyberaanval gewoon vuilnis konden ophalen. De planning daarvan moest met de hand worden gemaakt, dus op zondag is iedereen aan het werk gegaan om dat snel te doen.”
Dat lukte. Hoewel veel computersystemen van Omrin offline waren, reden vuilniswagens van het bedrijf door het noorden van het land heen.
In Leeuwarden wordt per afgehaalde container betaald. Die betalingen werden uiteindelijk gewoon verwerkt. Rijm: „De data daarvan wordt op de auto verzameld en blijft daarop staan. We konden de gegevens tijdelijk niet binnenhalen, maar ze zijn niet verloren gegaan.”
Als tweede werd gezorgd dat de schade niet nog groter kon worden. Alles werd geïsoleerd. „We hebben gelijk alle systemen uitgeschakeld”, aldus Rijm. Dat was een soort digitale quarantaine: door computers offline te halen, wilde Omrin voorkomen dat de ransomware zich naar meer systemen zou verspreiden.
Tot slot werden alle offline systemen volledig opnieuw opgebouwd. Oude computers werden vervangen door nieuwe exemplaren, waar software opnieuw op werd geïnstalleerd. Gegevens werden teruggezet nadat duidelijk was welke backups waren gemaakt voordat de ransomware had toegeslagen. Ze wilden immers niet riskeren dat ze de ransomware opnieuw meekopieerden.
Omrin betaalde geen cent aan de hackers. Foto: Jilmer Postma
Onderzoek naar omvang loopt nog
Recent werd de aanval toegeëigend door hackersgroep Qilin, die vanuit Rusland lijkt te opereren. De hackers plaatsten afbeeldingen met data die ze tijdens de aanval hadden gestolen, vermoedelijk om Omrin onder druk te zetten.
Tussen de gelekte gegevens staan onder andere de woonadressen van personeel, salarisgegevens, bedrijfsbudgetten en kopieën van identiteitsbewijzen. Volgens directeur John Vernooij is personeel kort na de ransomware-aanval geïnformeerd dat hun gegevens mogelijk waren gelekt. „En we hebben natuurlijk een melding gedaan bij de Autoriteit Persoonsgegevens.”
Omrin weet nog niet of de hackers veel meer gegevens in handen hebben. Volgens Vernooij wordt dat momenteel nog onderzocht.
Fox-IT staat bij
Omrin heeft kort na het ontdekken van de ransomware-aanval beveiligingsbedrijf Fox-IT gevraagd om te adviseren. Fox-IT staat vaak overheidsinstanties en andere grote bedrijven bij die zijn getroffen door een hack of datadiefstal. Zo hielp de instantie in 2020 ook toen het Leeuwarder Wetsus acht dagen lang werd gegijzeld door een hacker.
Een woordvoerder van Fox-IT zegt „in dit specifieke geval niet te kunnen reageren” op het onderzoek.
Omrin is terughoudend met het delen van verdere informatie over de hack. „Dat is best vervelend, we willen het liefst gewoon transparant zijn”, zegt Rijm. „Maar onze adviseurs zeggen dat het in dit stadium gewoon niet verstandig is.”
