Uit gezamenlijk onderzoek van cybersecuritybedrijven Fox-IT, Northwave en Responders, in het kader van project Melissa, zijn Nederlandse slachtoffers geïdentificeerd van de ransomwaregroepering ‘Cactus’. Project Melissa is een samenwerking tussen het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse cybersecuritybedrijven.
Ransomwaregroep ‘Cactus’
Sinds eind 2023 zijn wereldwijd verschillende aanvallen van Cactus bekend. Omdat vanuit het samenwerkingsverband Melissa maandelijks ransomwarestatistieken onderling worden gedeeld, is gebleken dat er minimaal tien Nederlandse organisaties slachtoffer zijn van Cactus. Dit betreft de periode tot en met maart 2024. Om meer slachtoffers te voorkomen hebben de cybersecuritybedrijven Fox-IT, Northwave en Responders hun (technische) informatie in de vorm van ‘Indicators of Compromise’ (IOC’s) in april met elkaar gedeeld. Een IOC is een stukje informatie dat wijst op een mogelijke inbreuk op de beveiliging of een cyberaanval. Een Qlik Sense-server, als onderdeel van de IT-omgeving, bleek bij alle slachtoffers niet te zijn voorzien van de laatste software-versie. Zo kon deze gebruikt worden door Cactus om ongeoorloofd binnen te dringen in de IT-omgeving van de slachtoffers. Het verkrijgen van toegang is een belangrijke eerste stap voor de uitvoering van een geslaagde ransomware-aanval.
Identificatie en notificatie Nederlandse organisaties
Fox-IT heeft vervolgens door middel van ‘fingerprinting’ geïdentificeerd welke servers kwetsbaar, of mogelijk al misbruikt zijn door Cactus, en vervolgens hierop het internet gescand. De resultaten hiervan zijn gedeeld met het Dutch Institute for Vulneability Disclosure (DIVD), het NCSC en het Digital Trust Center (DTC). Hierop zijn door het DTC de Nederlandse bedrijven op de hoogte gebracht, zodat ze (tegen)maatregelen konden nemen om deze kwetsbaarheid te verhelpen. Door het zo snel mogelijk bijwerken van de Qlik Sense-server is het voor de cybercriminelen niet meer mogelijk om het netwerk van het potentiële slachtoffer binnen te dringen, waardoor een ransomware-aanval kan worden voorkomen. Daarnaast zijn verschillende buitenlandse Computer Security Incident Response Teams (CSIRTs) door DIVD geïnformeerd en buitenlandse politiediensten door de Nederlandse politie over de kwetsbare servers en de bijbehorende IP-adressen.
“Deze ontdekking onderschrijft het belang van het goed samenwerken in het cybersecuritydomein. Het onderling vertrouwen door initiatieven zoals project Melissa is zeer significant toegenomen, waardoor het beter dan ooit mogelijk is die gezamenlijke vuist tegen cybercriminaliteit te vormen.”, aldus forensisch IT-expert Willem Zeeman van Fox-IT.
Belang van informatie delen
Vanuit Cyberveilig Nederland is de afgelopen jaren hard gewerkt aan meer transparantie en het delen van informatie uit incidenten met elkaar en met de overheid om deze informatie in te zetten om incidenten elders te voorkomen. De samenwerking op Cactus, zoals voortgekomen uit project Melissa, laat zien dat het delen van deze informatie leidt tot een hogere weerbaarheid van álle organisaties in Nederland en het verminderen van cyberdreigingen. Overheidspartijen en private organisaties hebben ieder ‘stukjes van de puzzel’ en zoeken naar manieren om deze, binnen geldende juridische kaders, met elkaar te delen.
Meer over het samenwerkingsverband Melissa
Het samenwerkingsverband houdt in dat de partijen op structurele basis informatie met elkaar uitwisselen en actuele ontwikkelingen frequenter delen en bespreken. In oktober 2023 is de samenwerking officieel bestendigd in een convenant. Hierin zijn de juridische, organisatorische en technische afspraken van dit samenwerkingsverband vastgelegd. De samenwerking is in 2021 al gestart en leidde eerder tot succesvolle operaties als Deadbolt, Genesis Market, Qakbot en recentelijk Lockbit. Ook zijn er verschillende whitepapers gepubliceerd.
Cybersecuritybedrijven die samenwerken binnen Melissa zijn: Computest Security, Data Expert, Deloitte, Fox-IT, Kennedy Van der Laan, NFIR, Northwave, Responders, Tesorion, Trellix.
Meer over de Qlik Sense-kwetsbaarheden
Het betreft oude kwetsbaarheden in Qlik Sense Enterprise die ongeauthenticeerde kwaadwillenden in staat stellen om het systeem waar Qlik Sense op is geïnstalleerd, over te nemen en ransomware te verspreiden. Lees meer over hoe deze kwetsbaarheden.