Russische hackers zorgden in 2023 voor veel opschudding in Nederland. Maar organisaties werden ook getroffen door lekken bij partners, of door kwetsbaarheden in hun eigen systemen. Tijd om terug te blikken op de meest opvallende cyberaanvallen van het afgelopen jaar.
UMC Groningen
Pro-Russische hackers lieten eigenlijk het hele jaar van zich horen. Dat begon in januari met de DDoS-aanvallen van Killnet op de websites van Nederlandse ziekenhuizen. Met name het Universitair Medisch Centrum Groningen had hier last van. De informatiepagina van het ziekenhuis was door de aanvallen langere tijd grotendeels onbereikbaar.
"Benieuwd naar wat ons te wachten staat in 2024? Dit zijn de meest opvallende trends en voorspellingen voor 2024."
Blauw Research
Een datalek bij de softwareleverancier van Blauw Research had gevolgen voor een groot aantal klanten van het marktonderzoeksbureau. Bedrijven zoals NS, VodafoneZiggo, CZ, Heineken, het International Film Festival Rotterdam en ArboNed moesten hun klanten in maart informeren over een mogelijk lek van hun privégegevens. Na een kort geding dwong de rechter de softwareleverancier om meer duidelijkheid te verschaffen over het datalek.
KNVB
De KNVB betaalde in april losgeld aan de beruchte cyberbende LockBit. De criminelen dreigden de gestolen gegevens te publiceren als er niet werd betaald. Hierbij ging het onder andere om identiteitsbewijzen, woonadressen en salarisgegevens van Oranjespelers en andere professionele voetballers. “Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen”, zo reageerde de voetbalbond.
HVC
In mei werd de IT-leverancier van afvalverzamelaar en energieleverancier HVC getroffen door een cyberaanval. Hierdoor had HVC tijdelijk geen toegang tot zijn klantsysteem. Klanten van HVC Energie konden bovendien niet inloggen op hun persoonlijke portaal. Gegevens van klanten werden waarschijnlijk niet ingezien, gekopieerd of gedeeld met andere partijen. HVC riep zijn klanten op om toch alert te zijn op phishingberichten of -telefoontjes.
Landal GreenParks
In juni was Landal GreenParks het doelwit van een cyberaanval door de beruchte Russische ransomwaregroep Clop. Door een kwetsbaarheid in de geplaagde software MOVEit Transfer te misbruiken, konden de criminelen privégegevens van 12.000 parkbezoekers bemachtigen. Toen Landal weigerde losgeld te betalen, publiceerde Clop deze gegevens op het dark web. Landal waarschuwde zijn klanten vervolgens om alert te zijn op mogelijke phishingaanvallen en identiteitsfraude.
TenneT
Clop wist het afgelopen jaar bij nog veel meer Nederlandse gebruikers van MOVEit Transfer binnen te dringen. Bij netbeheerder TenneT kopieerden de cybercriminelen een onbekende hoeveelheid gegevens die met MOVEit waren uitgewisseld. TenneT riep partijen en personen waarvan mogelijk informatie was gelekt in een brief op waakzaam en alert te zijn op zaken als phishing, spam en helpdeskfraude.
Shell
Ook Shell kreeg in juni te maken met de ransomwaregroep Clop. Net als bij Landal maakten de criminelen gebruik van een zerodaylek in MOVEit Transfer om toegang te krijgen tot de systemen van Shell. Ze slaagden erin om persoonlijke informatie van medewerkers te stelen en dreigden deze gegevens openbaar te maken. Als reactie hierop waarschuwde Shell onder andere zijn personeel in Nederland voor het datalek.
Havenbedrijven
Russische hackers van NoName057(16) legden in juni de websites van de havenbedrijven van Amsterdam, Den Helder, Groningen en Rotterdam plat. Maar daar bleef het niet bij. NoName057(16) voerde in de maanden die volgden onder andere DDoS-aanvallen uit op Maastricht Aachen Airport, OV-NL, Arriva, Kamer van Koophandel en de gemeente Vlaardingen. De aanvallen zijn een vergelding voor de Nederlandse steun aan Oekraïne in de oorlog met Rusland.
Nederlandse statiegeldmachines
De Noorse fabrikant van statiegeldmachines Tomra haalde in juli duizenden apparaten offline na een cyberaanval. Het grootste deel van die apparaten stond in Nederland. Hierdoor konden consumenten bij een klein deel van de supermarkten in Nederland hun statiegeldflessen en -blikjes niet kwijt. Supermarkten die het leeggoed wel konden innemen, kregen hiervoor niet direct geld. Tomra loste de problemen op door de statiegeldmachines aan te sluiten op een nieuw systeem.
Kendrion
In augustus opende LockBit het vuur op industrieel toeleverancier Kendrion dat elektromagnetische componenten maakt. Kendrion ontdekte de aanval toen hun systemen niet goed functioneerden. Na de ontdekking schakelde Kendrion alle getroffen IT-systemen uit. Twee weken na de aanval waren alle operaties van Kendrion weer volledig operationeel. Het betalen van losgeld is volgens het Nederlandse bedrijf nooit aan de orde geweest.
Kadaster
Door een beveiligingslek bij het Kadaster kon iedereen mogelijk de namen en woonadressen van zo ongeveer alle Nederlanders met een koopwoning bekijken. Het Kadaster bevestigde dit lek in augustus na onderzoek van RTL Nieuws. Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens noemde het lek ‘een groot gevaar voor bedreigde journalisten, activisten en politici’. “Maar ook voor iedereen die te maken heeft met een boze, stalkende ex.”
Royal HZPC Group
Aardappelveredelaar Royal HZPC Group was in september het doelwit van cybercriminelen. Die slaagden erin om systemen binnen te dringen en een groot geldbedrag over te boeken naar een bankrekening. Volgens directeur Gerard Backx stond de bedrijfsvoering van het bedrijf uit Joure geen moment onder druk. “Maar het is wel een flinke deuk”, zo zei hij tegenover Omrop Fryslân.
Internationaal Strafhof
Het Internationaal Strafhof (ICC) in Den Haag was in september doelwit van een gerichte en geraffineerde aanval. Volgens het hof was het doel van de aanval spionage en het ondermijnen van de werkzaamheden van het ICC. Het is onduidelijk wie achter de aanval zat. Een onderzoek in samenwerking met de Nederlandse autoriteiten moet uitwijzen of de aanval het werk is van een buitenlandse staat.
Conclusie
Het afgelopen jaar hebben we een opvallende toename gezien van incidenten die het werk waren van Russische hackers. Veel van deze aanvallen zijn te herleiden tot de oorlog in Oekraïne. Het Nationaal Cyber Security Center (NCSC) waarschuwde eerder al dat de oorlog in Oekraïne en de toegenomen spanningen in Europa voorlopig nog zullen zorgen voor een verhoogde digitale dreiging.
Erno Doorenspleet, Vice President Security Strategy bij KPN Security, benadrukt het belang van samenwerking en openheid in de strijd tegen cybercriminaliteit. “De incidenten tonen aan dat oorlogen altijd neveneffecten hebben die iedereen kunnen treffen. Meer dan ooit is het essentieel dat we elkaar helpen in de strijd tegen cybercriminaliteit. Dit kan alleen als we open en eerlijk zijn en bereid zijn om van elkaar te leren. Het is niet productief om meteen een oordeel klaar te hebben, zoals gebeurde toen bekend werd dat de KNVB losgeld had betaald. Shamen van organisaties die openheid van zaken geven, is niet de juiste aanpak.”
Ook in 2022 kregen talloze organisaties, zowel in Nederland als daarbuiten, te maken met een cyberaanval. Dit waren de grootste cyberincidenten van 2022.