Afvalverwerker Omrin werd 12 oktober getroffen door een cyberaanval. Foto: Jilmer Postma
Twee weken lang werden de systemen van afvalverwerker Omrin gegijzeld door een groep hackers. Losgeld werd er nooit betaald, duizenden gevoelige documenten kwamen daardoor op het internet terecht. „Betalen was voor ons een te hoge horde.”
Omrin’s financieel directeur Tedo Rijm was op zondagochtend net weer in slaap gedommeld, toen zijn telefoon hem wakker trilde. Aan de andere kant van de lijn sprak de ICT-manager van het bedrijf: „Het is anders dan voorheen. Ik denk dat we morgen niet kunnen werken.”
De consignatiedienst van Omrin, een team dat 24 uur per dag de IT in de gaten houdt, had in de nacht van zaterdag op zondag iets geks opgemerkt. Terwijl personeel thuis op één oor lag, werden grote hoeveelheden data verstuurd naar een onbekend adres. Er werd alarm geslagen, het computernetwerk werd direct afgesloten. Omrin werd aangevallen door cybercriminelen.
Financieel Directeur van Omrin Tedo Rijm leidde het crisisteam van Omrin tijdens de Russische cyberaanval. Foto: Jilmer Postma
Hoe lang de aanval al gaande was, is onduidelijk. Wel weten we dat de hoeveelheid gestolen informatie fors is: meer dan een terabyte, duizenden bestanden met daarin bijvoorbeeld de woonadressen en salarissen van personeel. De volledige inhoud van computers gebruikt door medewerkers werd van de servers gedownload, ook de burgerservicenummers van iedere inwoner van Schiermonnikoog bleken op de getroffen systemen te staan.
Voor directeur John Vernooij kon de aanval niet op een slechter moment komen. Terwijl Rijm uit bed werd gebeld, zat hij net aan de andere kant van de wereld in Japan. Een week later zou hij terugkeren naar kantoor. „Het was bij Tedo in goede handen, ik kon op afstand wel online meedoen in een aantal calls.”
Omrin
Omrin is de grootste afvalverwerker van het noorden van Nederland. Het bedrijf is actief in alle gemeenten in Friesland (behalve Smallingerland), vijf Groningse gemeenten, Aalsmeer en een aantal gemeenten in de regio Rijnmond. Ook heeft het per 1 januari 2026 een nieuwe locatie in Harderwijk voor de regio noord-Veluwe.
‘Vandaag wij, morgen een universiteit’
Later zou blijken dat de hackers waarschijnlijk vanuit Rusland opereerden. Rijm verbaasde dat geenszins: „Ik was me wel bewust dat een cyberoorlog met de Russen gaande is”, vertelt hij. „Vandaag zijn wij het, morgen is het een universiteit of een ziekenhuis.”
Bij de aanval was ransomware gebruikt. Malafide software had zich op computers van Omrin genesteld en verstuurde in het geheim bestanden daarvan naar de aanvallers. Daarnaast werden getroffen computers onbruikbaar gemaakt. Op de machines lieten de hackers een boodschap achter: neem contact op om te onderhandelen over het vrijgeven van die computers.
Rijm weet hoe de hackers zijn binnengedrongen, maar wil dat uit veiligheidsoverwegingen niet vertellen. „Het lek is nu gedicht, ze komen niet meer op die manier binnen.”
Een boodschap die QIlin bij een eerdere cyberaanval op een ander bedrijf achterliet. Omrin wilde om veiligheidsredenen een foto van het bericht op hun computers niet delen. Forta
Op zondag naar kantoor
Op zondagochtend was Rijm daar nog helemaal niet mee bezig. Veel belangrijker waren de werkzaamheden voor komende maandag: honderden vuilniswagens moesten dan rijden door het noorden van Nederland om kliko’s te legen. Personeel werd uit bed gebeld om zo snel mogelijk naar kantoor te komen. „We kwamen in een actiemodus, we wilden laten zien dat we niet uit het veld geslagen zouden worden.”
Er werd gebeld met het Nationaal Cyber Security Centrum, een overheidsinstantie die bedrijven bijstaat bij dit soort aanvallen. „Ze hadden mensen klaarstaan om ons te helpen, maar die zijn uiteindelijk niet geweest. Ze concludeerden al snel dat wij al deden wat zij zouden adviseren.” Wel werd aangeraden een cybersecuritybedrijf in te huren.
Er werd gekozen voor Fox-IT, een organisatie die op overheidsniveau vaak helpt bij cyberdreigingen. Zij hielpen in 2020 ook het Friese Wetsus, dat toen acht dagen lang werd gegijzeld door een aanval.
Vergaderen in het Rijksmuseum
Meestal is het kantoor uitgestorven op de zondag. Personeel dat in het weekend zit te werken wordt afgestraft, grapt de directeur. Niks was minder waar toen Rijm op zondagmiddag arriveerde: het voltallige IT-team was aanwezig, medewerkers hadden uitjes afgezegd om te komen helpen.
Om 15:00 uur was de eerste bijeenkomst van een crisisteam dat moest bedenken hoe hun vrachtwagens in hemelsnaam konden rijden zonder de ondersteunende computersystemen. „We hebben die week geleerd dat we de afgelopen vijftien jaar gedigitaliseerd zijn”, vertelt Vernooij. „En dat heeft ons ook afhankelijk gemaakt.”
Sommige IT-diensten deden het op dat moment nog: op telefoons kon nog worden ingelogd in Microsoft Teams om online te vergaderen, e-mails versturen via Outlook was ook nog steeds mogelijk. Personeelsleden die op hun vrije zondag ver van huis waren, konden hierdoor toch meepraten. Hoofd Communicatie Jelmar Helmhout zocht een rustig hoekje van de middeleeuwse collectie in het Rijksmuseum in Amsterdam op om vanaf daar te vergaderen, weer een ander deed dat tussen de giraffen in dierentuin Wildlands in Emmen.
Werken op papier
Veel cruciale systemen waren door de cyberaanval tijdelijk onbruikbaar. Niet omdat ze allemaal door de cyberaanval waren getroffen: ze waren preventief offline gehaald, om te voorkomen dat de ransomware zich over het bedrijfsnetwerk er naartoe zou verspreiden. Een slimme manoeuvre waardoor de criminelen niet nog meer data konden stelen, maar ook één die de dagelijkse taken van het bedrijf ineens veel lastiger maakte. Routes voor afvalwagens die bij honderden klanten bedrijfsafval halen, werden op die zondag zorgvuldig uitgewerkt op grote vellen papier.
Personeel dat zonder computer niks kon doen stapte in de auto om bij weegbruggen te staan. Hier wordt gewogen hoeveel er in een vrachtwagen zit. Normaliter maakt de computer automatisch een factuur voor de kosten, maar de systemen hiervoor waren nu onbereikbaar. Bij iedere weging moesten daarom gegevens op papier worden opgeschreven, om later in te kunnen voeren als de computers weer werkten.
Op maandagochtend was de schade beperkt gebleven. Recyclingwinkels van het bedrijf moesten tijdelijk dicht, omdat ze zonder computers geen betalingen konden uitvoeren. Daarnaast was de afvalapp met bijbehorende ophaalschema niet bereikbaar voor inwoners, waardoor telefoons geen herinnering ontvingen om de kliko bij de weg te zetten. Maar de ritjes van afvalwagens, die de voornaamste omzet van Omrin vormen, konden gewoon doorgaan. Het afval werd overal opgehaald.
Estafette-winkels moesten door de cyberaanval tijdelijk dicht. Foto: Jilmer Postma
Losgeld niet betaald
Op de computers die door de ransomware waren getroffen, stond een bericht waarin Omrin werd opgeroepen zo snel mogelijk contact op te nemen met de Russische hackersgroep Qilin. Zij zaten achter de aanval. Dat is de gebruikelijke werkwijze voor dit soort ransomwarebendes. Ze claimen de aanval en dreigen gevoelige informatie te lekken. Tenzij het bedrijf een forse losgeldsom betaalt.
Omrin heeft uiteindelijk nooit contact opgenomen met de hackers. Hoeveel losgeld de hackers wilden, weet de directie daarom niet. Eerst omdat ze te druk waren met het operationeel krijgen van het bedrijf, later ook uit principiële overwegingen. „We werken met publiek geld”, legt Vernooij uit. „Als je dat gaat betalen aan criminelen, dat is heel lastig om uit te leggen. Het is een hele hoge horde om te nemen.”
Qilin
De ransomwarebende Qilin is sinds 2023 actief en viel al meerdere malen Nederlandse locaties aan. Ze lekten twee jaar geleden bijvoorbeeld de paspoorten van huisartsen in Gelderland na een cyberaanval.
Hoogstwaarschijnlijk opereren de criminelen vanuit Rusland. Ze zijn bijvoorbeeld actief op Russische websites waar hackers elkaar werven voor hun bendes, waar ze in die taal ook berichten plaatsen.
Er is geen bewijs dat de hack namens de Russische staat is uitgevoerd. In de praktijk hebben dit soort bendes wel een warme band met de Russische inlichtingendienst, die ze bijvoorbeeld gegevens uit bemachtigde data doorsturen.
Securityexperts zijn terughoudend als het gaat om het betalen van losgeld. Voor cybercriminelen is het verstandig om te doen wat ze zeggen: als na een losgeldbetaling blijkt dat ze hun belofte niet nakomen, zullen toekomstige slachtoffers minder happig zijn om te betalen.
Tegelijkertijd is er geen zekerheid dat de gestolen gegevens netjes door de hackers worden verwijderd. Misschien publiceren ze de gestolen data niet, maar niks weerhoudt ze er van om informatie stilletjes te verkopen aan bijvoorbeeld de Russische inlichtingendienst.
Afperspraktijken
Op zaterdag 25 oktober werd de hack publiek geclaimd door Qilin, in de nacht van zondag op maandag plaatsten ze afbeeldingen van bestanden met gevoelige informatie. Het betrof salarissen en woonadressen, maar ook kopieën van identiteitsbewijzen waarop gevoelige persoonsinformatie niet was afgeschermd. Ook dat is volgens het boekje van cybercriminelen: ze lieten zien gevoelige data te hebben, waarvan ze alles online zouden publiceren als geen contact werd opgenomen.
Ook toen ging Omrin niet in op het verzoek tot contact. „We hebben intern goed gesproken en verschillende scenario’s doorgenomen over eventueel contact met de criminelen. Maar we hebben eigenlijk nooit echt getwijfeld over onze aanpak”, vertelt Rijm. Na forensisch onderzoek was duidelijk geworden hoeveel data de hackers ongeveer in handen hadden. „Als je het hebt over bedrijfsgegevens, dan hadden ze maar een klein deel”, beklemtoont Rijm.
„Dat onze fabrieken losgekoppeld waren van het kantoornetwerk was cruciaal”, vertelt Vernooij. „Dat hebben we afgelopen jaar gedaan.” Hierdoor konden de hackers niet de dagelijkse werkzaamheden op die locaties saboteren, wat een gigantisch omzetverlies voor Omrin zou zijn geweest. Dat was wel het geval in het Verenigd Koninkrijk, waar een cyberaanval de fabrieken van Land Rover lange tijd gijzelde.
Alle gestolen data op straat
Omdat Omrin de hackers bleef doodzwijgen, publiceerden ze op dinsdagmiddag meer dan een terabyte aan gestolen gegevens. Rijm denkt dat dit alles is dat door ze was gestolen. In de gestolen dataset zaten de bestanden van veel medewerkers. Gegevens bewaard op hun laptops worden op een centrale server opgeslagen, zodat niks verloren gaat als het apparaat kapotgaat. Door juist dat deel van de server te hacken, konden de aanvallers wroeten in alle bestanden die personeel op hun systemen hadden bewaard.
Hoewel databases met gegevens van inwoners niet waren getroffen, kon in de getroffen data incidenteel zulke informatie staan. Dat was bijvoorbeeld het geval bij de data van Schiermonnikoog, die per abuis door een mailwisseling ergens op een systeem terecht waren gekomen. Recent bleek dat de gemeente die gegevens nooit naar Omrin had mogen sturen.
Tijdlijn van de cyberaanval
Zondag 12 oktober: De ransomwarebende slaat toe. Apparatuur wordt offline gehaald en Omrin moet op papier de werkweek uitplannen.
Maandag 13 oktober: Afval wordt opgehaald, maar Omrin kan de app en kalender nog niet online aanbieden. Estafettewinkels verspreid over het Noorden gaan dicht. Alleen in Burgum blijft één winkel open.
Dinsdag 14 oktober: De eerste estafettewinkels mogen weer open. De klantenservice van Omrin is weer bereikbaar.
Woensdag 22 oktober: De afvalkalender op de website van Omrin is weer hersteld, tien dagen na de aanval.
Vrijdag 24 oktober: De app van Omrin werkt weer.
Zaterdag 25 oktober: De Russische cyberbende Qilin claimt de aanval op het darkweb.
Maandag 27 oktober: De hackers plaatsen afbeeldingen van gestolen bestanden op hun website. Het gaat onder andere om salarisinformatie, woonadressen van personeel en kopieën van identiteitsbewijzen.
Dinsdag 28 oktober: Qilin publiceert meer dan 1 terabyte aan informatie, gestolen bij de hack. Het lijkt te gaan om de volledige computerinhoud van veel medewerkers.
Zaterdag 1 november: Na onderzoek blijkt dat het lek ook persoonsgegevens van inwoners van Schiermonnikoog bevat, waaronder burgerservicenummers. De gemeente had die in 2024 per ongeluk met de afvalverwerker gedeeld.
‘Had ik dat bestand maar gewist’
De publicatie van de gegevens was een klap voor een aantal personeelsleden. Ze voelden zich schuldig, bijvoorbeeld omdat ze een gevoelig document op hun systeem hadden dat ze misschien ook hadden kunnen wissen. „We vinden het heel naar voor onze medewerkers. Dat gevoel proberen we nu echt bij ze weg te nemen”, vertelt Rijm. „Dit was de juiste plek om die informatie te bewaren en het was goed beveiligd. Maar 100 procent veiligheid bestaat niet.”
De één grapt op kantoor dat alles van hun toch al op straat lag, terwijl een ander doodsbang is dat criminelen met hun gestolen paspoort een lening in hun naam proberen af te sluiten. Medewerkers van wie het paspoort is gestolen, mogen op kosten van de gemeente een nieuw exemplaar aanvragen. Maar het daarop vermelde burgerservicenummer blijft dan wel hetzelfde en kan nog worden misbruikt.
Volgens Vernooij wordt getroffen personeel bijgestaan. „Daar proberen we maatwerkoplossingen te bedenken, want we weten nog niet wat iedereen precies nodig heeft.”
Zelf zegt Vernooij zich niet als slachtoffer te zien, maar is hij bezorgd over de huidige wereldsituatie waar dit onderdeel van is. Hackers uit Rusland vallen continu bedrijven aan om systemen te gijzelen en software te stelen. „Dat veiligheidsgevoel dat we allemaal vanaf de Tweede Wereldoorlog hadden, dat ligt nu allemaal in de weegschaal. Er gebeurt nu van alles.”
