Het noorden was in de greep van veel grote cyberaanvallen afgelopen najaar. Beeld: Shutterstock
Een ransomware-aanval op een afvalverwerker, een regionale omroep die door getroffen computersystemen niet online kan publiceren. Een ziekenhuiswebsite die na een hackaanval klanten doorverwijst naar nazi-teksten. Grote cyberaanvallen hielden het noorden van Nederland dit najaar in zijn greep. Zijn wij het nieuwe doelwit in de strijd van staatshackers?
Op 12 oktober misbruikt een cybercrimineel een gat in de beveiliging bij afvalverwerker Omrin om binnen te dringen op de computersystemen. Computers worden onbruikbaar gemaakt. Tegelijkertijd steelt hij de volledige inhoud van computers van medewerkers, waartussen onder andere de woonadressen en burgerservicenummers van alle bewoners van Schiermonnikoog blijken te staan.
De hackers laten een simpele boodschap achter op de getroffen computers: als niet wordt betaald, blijven de systemen versleuteld en zal de gestolen informatie op het internet verschijnen.
Een maand later breken hackers in op de computers van regionale omroep RTV Noord. Systemen gebruikt voor de radio-uitzending worden onklaar gemaakt, presentatoren moeten decoratieve vinylplaten van de muur rukken om nog muziek te kunnen spelen. Op de website kan niks meer worden gepubliceerd, de tv-uitzending kan alleen door een noodgreep worden voortgezet.
Weer twee weken later: de websites van het Martini Ziekenhuis en Arriva zijn onbereikbaar. Wie de domeinnaam in de browser invoert, wordt doorverwezen naar een boodschap van een Frans-Russisch hackerscollectief. Teksten als ‘Heil Hitler’ en ‘We will rise again’ staan groot in beeld.
De boodschap die hackers op de site van het Martini Ziekenhuis en Arriva achterlieten. Bewerking: DVHN
Willekeurige doelwitten
De ene na de andere cyberaanval teisterde afgelopen najaar het noorden van Nederland. Daarmee lijken Friesland, Groningen en Drenthe doelwit in een grote golf aan cyberaanvallen, in de praktijk is het hoogstwaarschijnlijk toeval. „Het aantal aanvallen valt nog binnen de nationale trend”, vertelt Christo Butcher, beveiligingsexpert bij Fox-IT. Zijn bedrijf staat grote bedrijven en overheidsinstanties bij als ze worden getroffen door een cyberaanval.
Bij de aanval op RTV Noord lijkt het er bijvoorbeeld op dat de omroep een willekeurig doelwit was. Zo werken cybercriminelen vaker: ze proberen in te breken bij honderd bedrijven tegelijkertijd, om daarna verder te gaan bij de tien bij wie ze binnen weten te komen. Het zou betekenen dat de hackers niet specifiek bij een noordelijke instantie wilden binnendringen.
Hetzelfde kan waarschijnlijk gezegd worden over de aanval op Omrin. Deze werd later geclaimd door het Russische Qilin, een hackerscollectief dat wekelijks tientallen doelwitten treft. De hackers van het Martini Ziekenhuis en Arriva zeiden in eerder interview zich niet specifiek op die instanties te hebben gericht, maar op websitedomeinen waarvan toevallig de beveiliging niet op orde was.
De winkels van Omrin moesten tijdelijk dicht door de Russische cyberaanval. Foto: Jilmer Postma
Aan de lopende band
„Helaas zien we dit aan de lopende band gebeuren”, aldus Butcher. „Het aantal dat we nu in het Noorden voorbij zagen komen is nog steeds veel minder dan wat er in de rest van het land gebeurt. Je zou wel iets minder aanvallen in het Noorden verwachten gezien het aantal bedrijven en inwoners, maar we zien vooralsnog niet echt iets bijzonders.”
Wel sluit het aan bij het landelijke dreigingsbeeld. „Qua trends zien we het aantal aanvallen komend jaar niet minder worden”, waarschuwt de expert van Fox-IT. „Ransomware en ‘business e-mail compromise’ blijven zeer lucratief voor cybercriminelen.” Business e-mail compromise is een soort gerichte vorm van phishing. Criminelen lezen zich in over het bedrijf dat ze aanvallen, waarna ze gerichte e-mails naar personeel sturen. Hierdoor lijkt het alsof bijvoorbeeld de baas vraagt om gegevens te versturen.
„Het digitale dreigingslandschap wordt steeds diverser, onvoorspelbaarder en complexer”, waarschuwde de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) onlangs in een jaarverslag. Doorlopend werden er aanvallen op Nederlandse instanties uitgevoerd, zoals de diefstal van persoonsgegevens van één miljoen Nederlanders die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker.
Aanvallen hebben ook geregeld impact op de het werk van instanties. Hackers kregen dit jaar toegang tot de systemen waarmee personeel van het Openbaar Ministerie extern kan inloggen. De getroffen computers werden losgekoppeld van het internet, waardoor personeel niet meer vanuit huis kon inloggen om te werken.
„Alhoewel incidenten in Nederland deze rapportageperiode niet hebben geleid tot maatschappelijke ontwrichting of significante impact op de nationale veiligheid, hadden verschillende incidenten wel die potentie”, schrijft de NCTV. „Het illustreert dan ook hoe afhankelijk ons land is van digitale processen en dat dat ons kwetsbaar maakt.”
Bij RTV Noord werkt de redactie weken later nog steeds in een noodsysteem. Foto: Jaspar Moulijn
Staatshackers
Het conflict tussen Rusland en het Westen speelt ook een groeiende rol. De Russische staatshackersgroep Laundry Bear bleek achter een hackaanval op de Nederlandse politie te zitten. Deze instantie voert sinds 2024 aanvallen uit op overheden, defensie en maatschappelijke organisaties in het Westen.
Cryptovaluta bij Nederlandse organisaties werd grootschalig gestolen door Noord-Koreaanse hackers. Daarnaast werden meerdere Nederlandse instanties slachtoffer van Salt Typhoon, een hackerscollectief dat namens de Chinese staat zou werken.
Bij ransomware-aanvallen wordt het vaakst gewezen naar Rusland als uitvoerder. Veel ransomwarebendes opereren vanuit dat land, omdat het daar een geaccepteerde manier is om geld te verdienen. Hackers die westerse bedrijven afpersen worden er niet vervolgd of uitgeleverd aan andere landen.
De hackers in Rusland zijn niet per se staatshackers, ze voeren hun aanvallen vooral uit om geld te verdienen. Maar door hen te gedogen, zorgt Poetin ervoor dat aan heel veel grote aanvallen een Russisch randje komt te zitten. Butcher noemt het een ‘constructieve wisselwerking tussen bendes en de Russische staat’.
In Oost-Europese landen gaat dat er nog veel heftiger aan toe. Een continue stroom aanvallen is daar afkomstig uit Rusland. Geen daarvan is in staat om een land plat te leggen, maar het beeld ontstaat dat Rusland actief bezig is om mensen het leven zuur te maken. „Het doel lijkt om burgers te demotiveren en demoraliseren. Maar of dat werkt is maar de vraag, omdat het ook door kan slaan waardoor mensen juist eensgezind worden tegen de Russische dreiging.”
Mailcontact met AI van crimineel
In het afgelopen jaar werd generatieve kunstmatige intelligentie (AI) steeds vaker ingezet bij cyberaanvallen, waarschuwt Butcher. Met AI-bots kunnen buitenlandse hackers die geen Nederlands spreken toch een foutloze, Nederlandstalige tekst genereren. De tijd waarin een oplichtmailtje herkend kon worden door de grote hoeveelheid typefouten lijkt steeds verder achter ons te liggen.
Omdat het makkelijker wordt in andere talen te communiceren, worden aanvallen ook geraffineerder. „Ze sturen niet langer één mail waarin ze je vragen op een linkje te drukken, maar gaan lange mailgesprekken aan om een vertrouwensband met je op te bouwen. Het slachtoffer gaat hierdoor geloven met een echt persoon in gesprek te zijn.”
Is die band eenmaal opgebouwd, dan stuurt de aanvaller een linkje of mailbijlage om een computer mee te besmetten of geld te stelen. Het slachtoffer is dan veel meer geneigd om in goed vertrouwen daar op te drukken. „We zien dat in de praktijk helaas nu al gebeuren.”
Een afbeelding op sociale media van OpenAI's populaire ChatGPT. Foto: Carlos Lopez
AI maakt cybercriminelen productiever
De NCTV waarschuwt daarnaast voor malware die is geprogrammeerd met behulp van kunstmatige intelligentie. Criminelen die zelf geen virussen kunnen programmeren, kunnen een AI wel vragen om dat voor ze te doen.
„Er is niet bepaald een tekort aan malware”, aldus Butcher. „Het is niet zo dat nu ineens de beste malware met AI wordt gegenereerd. Een goede programmeur kan er makkelijk meer code mee genereren, maar daarna is handwerk vereist om het nog goed te maken.” Cybercriminelen gebruiken de AI-code waarschijnlijk vooral om productiever te werken.
‘Grotere impact dan je denkt’
Maanden later is de impact van de cyberaanval bijna niet meer te voelen bij Omrin. „We hebben de zaak nu voor bijna 100 procent weer in orde, de laatste dingen worden nu afgerond”, vertelt financieel directeur Tedo Rijm. „Het heeft tijd gekost. De impact van een hack is groter dan mensen zich realiseren.”
RTV Noord kon dagen na de aanval weer online publiceren en is uiteindelijk niet uit de lucht geweest. Personeel werd kort na het incident gewaarschuwd dat hun gestolen gegevens op straat gingen verschijnen, gek genoeg hebben de hackers die nog steeds niet gepubliceerd. „Dat zien we niet vaak gebeuren, maar soms gaat dat zo”, weet Butcher. „Soms hebben criminelen het in zo’n geval druk of is elders meer geld te verdienen. Dan staat het lekken van de gegevens onderaan hun to-dolijst.”
„Het vervelende is dat die data nog ergens kan liggen en je nooit weet of ze volgend jaar wellicht alsnog online verschijnen. Die dynamiek is er zelfs als je afpersers wel betaalt: we zien soms dat jaren later gestolen data alsnog ergens op een server rondhangt.”
De afvalverwerking van Omrin heeft uiteindelijk geen gevaar gelopen. Foto: Jilmer Postma
Noodsysteem
Volgens RTV Noord-eindredacteur Cunera van Selm spelen er intern nog steeds problemen bij de omroep. De online omgeving waarmee journalisten verhalen op de site plaatsen is nog onbruikbaar, daarom wordt een noodsysteem gebruikt. Dat werkt omslachtiger, waardoor niet zo efficiënt als voorheen gewerkt kan worden. „Van buitenaf lijkt het alsof alles weer volkomen normaal is, maar mensen hebben er dagelijks nog mee te maken.”
Sinds de aanvallen op het Noorden zijn hackers doorgegaan met aanvallen op talloze andere instanties. Op één willekeurige dag in december lekte de informatie van een Brits computerbedrijf, een Franse interieurontwerper en een Spaanse aannemer kort na elkaar naar buiten.
Autoverkoper Van Mossel, die ook locaties in het noorden van Nederland heeft, zag zijn computers op slot gaan door weer een ransomware-aanval. Voor de hackers is het een zoveelste werkdag. Het lijkt een kwestie van tijd tot weer een groot bedrijf bij ons wordt getroffen.
