Dit weekend werd de wereld opnieuw opgeschrikt door een enorme ransomware-aanval. Wereldwijd werden honderden bedrijven getroffen met gijzelsoftware van de REvil-groep. In Zweden bleven 800 Coop-winkels gesloten, omdat de kassasystemen het niet deden. Joe Biden heeft de Amerikaanse inlichtingendiensten opgedragen om de aanval te onderzoeken, die begon aan de vooravond van de 4th of July-festiviteiten. Nu is bekend geworden dat het maar een haar gescheeld had of een handvol Nederlandse vrijwilligers hadden de aanval voorkomen.

Vrijdagavond 2 juli kreeg security researcher Wietse Boonstra ‘een ping’ uit Amerika, van een contact van het Amerikaanse softwarebedrijf Kaseya. ‘Are you available? Time sensitive info.’ Ongeveer tegelijkertijd verscheen er een blogpost van de onderzoeker Kevin Beaumont, waarin hij met het nieuws kwam dat er een grote ransomware-aanval plaatsvond.

‘Het was weer datzelfde rotgevoel als toen met dat ziekenhuis in Duitsland,’ zegt ethische hacker Victor Gevers. Hij refereert aan vorig jaar, toen een ambulance met een Duitse vrouw na een ziekenhuis verder moest, omdat een ziekenhuis getroffen was door ransomware. Ze overleed onderweg. De kwetsbaarheid die de criminelen toegang gaf tot het ziekenhuis, was eerder ontdekt en gemeld door de DIVD. Nu opnieuw hadden ze snel gehandeld en het bedrijf Kaseya al even geleden gewaarschuwd. Maar het advies werd net niet op tijd opgepakt.

Gevers is de ‘chairman’ van de Dutch Institute for Vulnerability Disclosure (DIVD), een groep vrijwilligers, voor een groot deel bestaand uit ervaren hackers, die als een vrijwillig Incident Response Team een oogje in het zeil houden op internet, en die snel reageren als er kwetsbaarheden ontdekt zijn. Het idee is dat zij bedrijven waarschuwen voordat criminelen er misbruik van kunnen maken, bijvoorbeeld om ransomware te installeren.

De vrijwilligers van de DIVD probeerden de ransomware-aanval van dit weekend al een tijdje te voorkomen. Het begon allemaal toen Boonstra een pen test deed. Een bedrijf huurde hem in om de computersystemen te testen. Hij stuitte op een softwarepakket met de naam Kaseya. Daarmee kon een geautoriseerde gebruiker op afstand computers beheren. Een mooi doelwit voor een hacker. Het lukte Boonstra niet meteen om het programma te misbruiken, maar hij had toch het gevoel dat er iets niet klopte. Weer thuis kon hij het niet laten om er nog eens goed naar te kijken.

Na even proberen vond hij inderdaad een lek, waarmee hij toegang kon krijgen zonder inloggegevens nodig te hebben. Dat was niet best. Met dit soort remote management software kun je toegang krijgen tot meerdere computers, om backups te installeren of om programma’s te updaten. Kaseya maakt het leven van een systeembeheerder makkelijk. Maar als een ransomware-aanvaller toegang krijgt tot zo’n systeem is dat een kleine ramp.

DIVD-er Frank Breedijk: ‘Iemand die in een Kasey VSA-systeem inbreekt, krijgt in één keer toegang tot alle computers die door dit systeem beheerd worden. Dat zijn er soms wel honderden.’

Boonstra dacht er in eerste instantie niet zo veel van. Het leek hem geen software die veel gebruikt wordt. Misschien was het allemaal wel helemaal niet zo heel interessant. Even googelen bracht hem op andere gedachten. Hij nam als eerste contact op met Frank Breedijk. Samen bekeken ze in een Slack-kanaal wat Boonstra gevonden had. Ze deden een scan op om te kijken hoeveel bedrijven de software ‘open’ aan het internet hadden hangen.

Daarna zetten ze hun ‘evil hat’ op, om te bedenken wat een crimineel of een terrorist allemaal zou kunnen doen, met de kennis die zij nu hadden. ‘Ik werd er gewoon echt misselijk van,’ vertelt Breedijk, die duidelijk nog ongemakkelijk wordt als hij dat moment terug haalt. Wietse en Frank tuurden naar hun beeldscherm en realiseerden zich dat ze heel Nederland konden ontwrichten. En niet alleen Nederland.

Ze hadden een zeroday te pakken die op de zwarte markt een bedrag met zes cijfers op kon leveren. Een kwetsbaarheid die nog niet (nul dagen dus) bekend was in de informatiebeveiligingswereld. En de fouten die ze in het programma vonden waren van een dusdanige aard, dat ze vroeg of laat ook door anderen gevonden zouden worden.

Ze zochten contact met Kaseya. Anders dan normaal werden ze niet afgewimpeld door de pr-afdeling en hadden ze binnen een paar dagen de hoogste technische man aan de lijn. Meteen gingen Kaseya en de DIVD samenwerken. Ze wilden alles weten. Ze waren leergierig, Ze wilden deze problemen oplossen. Boonstra werkte nauw met ze samen om de software te verbeteren. Kaseya informeerde de gebruikers dat zij die zo spoedig mogelijk moesten updaten.

Het zou een succesverhaal moeten worden, van hoe de Nederlandse vrijwilligers in samenwerking met een Amerikaans bedrijf een ramp wisten te voorkomen.

Maar Boonstra ontdekte meer nieuwe kwetsbaarheden. Ook die werden aangepakt. De bedoeling was om de lekken snel te dichten, een update aan te bieden en een ‘coordinated vulnerability disclosure’ te doen. Dan kon het hele verhaal verteld worden, zodat andere onderzoekers en andere bedrijven er ook van konden leren. Het zou een succesverhaal moeten worden, van hoe de Nederlandse vrijwilligers in samenwerking met een Amerikaans bedrijf een ramp wisten te voorkomen.

Maar toen kwam dat bericht van Kaseya. En die blogpost van Kevin Beaumont. Net als Boonstra en Breedijk eerder realiseerde hij zich meteen wat dat betekende. Via Kaseya kunnen in een keer vele computers geïnfecteerd worden.

Het was opnieuw een ransomware-aanval die in het beeld paste van een dynamiek die uit de hand dreigt te lopen. ‘The reality is (…) the threat is becoming overwhelming and I believe an existential crisis for the security industry, and so their customers,’ schrijft Beaumont in een blogpost. De ransomware-bendes zijn bijna niet meer te stoppen. Op een Russische site staat een interview van een van de leden van de REvil-groep, waarin hij beweert dat ze een omzet maken van honderd miljoen dollar per jaar. ‘We gebruikten ooit vergelijkbare software als adverteerders. Die software hield op te bestaan. We kochten de broncode en schreven het om tot ons eigen product,’ zegt een van de leden van REvil.

Hackers zijn dit niet. Dit is goed georganiseerde misdaad. REvil werkt volgens het RAAS-model – ransomware as a service. Zij maken software die ze verhuren aan de mensen die de werkelijke ransomware-aanval doen. De softwarebouwers krijgen dertig procent van de opbrengst. Daaromheen is een heel ecosysteem ontstaan, van helpdesks die de slachtoffers helpen om hun geld over te maken en de data daarna weer te ontsleutelen, tot brokers die informatie verkopen over hoe je toegang kunt krijgen tot een systeem als Kaseya. Verzekeringsbedrijven bieden polissen aan waarmee je verzekerd bent tegen ransomware-aanvallen. Groepen als REvil zijn inmiddels zo rijk dat dit ecosysteem blijft groeien en de aanvallen steeds moeilijker zijn om tegen te gaan. Ze zijn nu in staat om zerodays van miljoenen euro’s te kopen. Onbekende lekken waarmee je geruisloos kunt inbreken in bijvoorbeeld het Windows-besturingssysteem.

Er ging dan ook een lichte siddering door de beveiliginsgwereld bij deze aanval, die ook gebruik leek te maken van een zeroday.

Maar geen zeroday voor de vrijwilligers van de DIVD. In de nacht van 2 op 3 juli gingen ze aan de slag. Zij hadden een lijst met 2.250 IP-adressen, die kwetsbaar waren voor een aanval. Na een gezamenlijke campagne van Kaseya, DIVD en vele anderen om eigenaren te waarschuwen en over te halen om de systemen uit te zetten, daalde dit getal snel naar net geen 140 systemen. In Nederland staat de teller nu dankzij de samenwerking van DIVD met partners op nul.

Net voor de finish werden ze ingehaald door de Russische criminelen. Een handjevol vrijwilligers tegen mensen die honderden miljoenen tot hun beschikking hebben. Vrijwilligers die overdag zware banen hebben. ‘Als we een beetje meer tijd hadden gehad, was het ons gelukt.’

Dit onderzoek kwam tot stand met dank aan het Fonds Bijzondere Journalistieke Projecten.