De MediaMarkt kampt met een grote ransomware-aanval. De cybercriminelen achter de aanval eisen 50 miljoen dollar (43 miljoen euro) losgeld in ruil voor toegang tot de gegijzelde systemen. Er wordt momenteel onderhandeld over de betaling.
Dat blijkt uit onderzoek van RTL Nieuws. Het gaat om de cybercriminele groep Hive, dat sinds juni 2021 bedrijven en organisaties aanvalt en hun computers en bestanden gijzelt. Hive vraagt om het losgeld te betalen in bitcoin.
De Europese vestigingen van MediaMarkt zijn sinds gisterenochtend getroffen door de ransomware, waaronder de filialen in Nederland, België en Duitsland. De winkels blijven open, maar afhalen en retourneren is niet meer mogelijk.
Hive heeft een ‘helpdesk’
Hackersgroep Hive is met name berucht omdat het ook ziekenhuizen aanvalt. Afgelopen augustus gijzelden de criminelen drie Amerikaanse ziekenhuizen waardoor chirurgische ingrepen en radiologische onderzoeken moesten worden geannuleerd.
De ransomwaregroep beschikt over zijn eigen website waar slachtoffers naartoe kunnen gaan om contact te krijgen met de cybercriminelen. Dat gebeurt via een chatvenster, waar kan worden onderhandeld over de hoogte van het losgeld.
Ook kunnen slachtoffers via deze ‘helpdesk’ een aantal versleutelde bestanden weer toegankelijk maken, waarmee Hive laat zien dat ze wel degelijk de digitale sleutel van de ransomware hebben. Als er is betaald verschijnt op diezelfde pagina de software om de computers weer van het digitale slot te krijgen.
Volgens de FBI, die een paar maanden geleden nog waarschuwde voor Hive, komt de hackersgroep veelal binnen door phishingmails te sturen met malafide bijlagen. Ook wordt er geprobeerd in te breken via het zogeheten Remote Desktop Protocol (RDP), een populaire manier om Windows-computers op afstand te bedienen.
Afpersen
Hive staat erom bekend zijn slachtoffers af te persen. Daarvoor heeft het zelfs een speciale website gelanceerd waar de gestolen en gegijzelde data van hun inmiddels vele tientallen slachtoffers openbaar wordt gemaakt. Er staat bij elk bedrijf wanneer het is gehackt en wanneer hun data is gepubliceerd.
Met deze website proberen de cybercriminelen druk uit te oefenen op slachtoffers, in de hoop dat ze tot een betaling overgaan. De data wordt veelal openbaar gemaakt via downloaddiensten als Mega, AnonFiles en SendSpace.
Duizenden servers
Hive zou naar verluidt duizenden computers en servers van de MediaMarkt hebben gegijzeld met hun ransomware. Op elke gegijzelde computer staat een tekstbestandje met daarin de boodschap: “Je netwerk is gehackt en alle data is versleuteld. Om weer toegang te krijgen tot alle data moet je onze decryptiesoftware aanschaffen.”
Het is momenteel onduidelijk of de backups van de systemen van de MediaMarkt ook zijn gegijzeld. Hive probeert normaal gesproken altijd alle backups te gijzelen. Dat wordt ook vaak via de chatfunctie verteld tegen slachtoffers: je backups zijn versleuteld of werken maar heel traag, waardoor het soms wel weken tot maanden duurt om weer aan de slag te kunnen, wordt hen dan gezegd.
Risico voor nationale veiligheid
Ransomware wordt inmiddels gezien als een risico voor de nationale veiligheid van Nederland, zo schreef de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) afgelopen juni in zijn rapport.
Cybercriminelen kunnen belangrijke systemen voor bijvoorbeeld de energievoorziening platleggen, het digitale verkeer verstoren of onbewust schade aanrichten, en experts vrezen dat het aantal ransomware-aanvallen de komende jaren alleen maar gaat toenemen.