Cyberaanvalchaos op luchthavens houdt aan: ransomware duikt op

De cyberaanval op inchecksystemen van luchtvaartmaatschappijen in heel Europa gaat zijn vierde dag in (maandag 22 september). De persoon of groepen achter de aanval zijn nog niet geïdentificeerd.

Volgens AP is aan de luchtvaartmaatschappijen gevraagd om ongeveer 140 van de 276 retourvluchten die voor maandag gepland stonden te annuleren.

DE GROOTSTE IMPACT IS IN LONDEN

De grootste verstoring vond plaats in Terminal 4 op London Heathrow Airport . Zondagavond liepen veel vluchten vertragingen op van meer dan twee uur en het handmatig inchecken bleef van kracht.

Een woordvoerder van Heathrow gaf de volgende verklaring af:

Collins Aerospace werkt wereldwijd aan een oplossing voor het probleem met zijn inchecksystemen. Dit systeem is niet eigendom van Heathrow, maar we hebben extra personeel ingezet om passagiers te helpen.

De luchthaven waarschuwde dat het inchecken en boarden "iets langer kan duren dan normaal". Ook werd passagiers gevraagd niet eerder dan drie uur aanwezig te zijn voor langeafstandsvluchten en niet eerder dan twee uur voor korteafstandsvluchten.

VLUCHTEN GEANNULEERD IN BRUSSEL

Meer dan 50 aankomst- en vertrekvluchten op Brussels Airport werden geannuleerd. Luchtvaartmaatschappijen moesten het aantal vluchten verminderen om passagiers handmatig te kunnen inchecken. Brussels Airlines werd het zwaarst getroffen, terwijl easyJet en Vueling elk zes vluchten annuleerden.

Brussels Airlines waarschuwt haar passagiers als volgt:

Vanwege een technisch probleem op Brussels Airport is handmatig inchecken alleen mogelijk. Controleer de status van uw vlucht in geval van annulering of vertraging.

Chaos duurt voort in Berlijn en Dublin

In Berlijn vormen zich lange wachtrijen en Dublin Airport kampt nog steeds met technische problemen.

Het luchthavenmanagement meldde op X (voorheen Twitter) dat er nog steeds verstoringen zijn in Terminal 2, maar dat de werkzaamheden in Terminal 1 (Ryanair-vluchten) normaal verlopen.

HOE IS DE AANVAL GEBEURD?

Het probleem, dat in de nacht van 19 september begon, had betrekking op de Muse-software van Collins Aerospace, die wordt gebruikt voor algemene incheckbalies, boarding gates en andere infrastructuur.

Door de chaotische sfeer moesten luchtvaartmaatschappijen passagiers doorverwijzen naar handmatige systemen.

Collins Aerospace, de leverancier van het systeem, kondigde aan dat "de benodigde software-updates bijna voltooid zijn" en dat luchthavens en luchtvaartmaatschappijen naar verwachting binnenkort weer normaal zullen functioneren.

Het moederbedrijf van Collins Aerospace, RTX, gaf toe dat er een "cybergerelateerde storing" zat in de MUSE-software, maar beantwoordde geen vragen van veel media.

VOORBEREIDINGEN VOOR EEN GROTERE AANVAL?

Deskundigen denken dat hackers de huidige storing kunnen gebruiken als voorbereiding op een veel grotere aanval die wereldwijd systemen lamlegt. Muse is volgens hen een 'industriestandaard' die op ongeveer 150 luchthavens wereldwijd wordt gebruikt.

Alan Woodward, gasthoogleraar computerwetenschappen aan de Universiteit van Sussex, zei dat het gebrek aan transparantie rond het incident erop duidt dat criminelen of mogelijke overheidsactoren het doelwit waren van het systeem.

"Criminelen doen dit soort dingen voor geld. Ze infiltreren je netwerken en zeggen: 'Als je ons niet betaalt, kunnen we delen van je netwerk platleggen.' Dit was een testaanval", vertelde Woodward aan Daily Metro.

"Als zoveel luchthavens het gebruiken, waarom hebben we er dan maar van drie gehoord? Hebben ze een update uitgebracht? Waarom hebben de anderen dan niet dezelfde malware gevonden? Het roept meer vragen op dan niet. Iedereen zwijgt. Ze zeggen niets."

EU: Ransomware gebruikt bij aanval

Het Cybersecurity Agentschap van de Europese Unie, ENISA, vertelde de BBC maandag dat hackers ransomware gebruikten om chaos te creëren op luchthavens over de hele wereld. "Het type ransomware is gedetecteerd", vertelde het agentschap aan persbureau Reuters. "De wetshandhaving is een onderzoek naar het incident gestart."

Het is niet bekend wie er achter de aanval zit, maar criminele bendes gebruiken doorgaans ransomware om de systemen van hun slachtoffers ernstig te ontwrichten en losgeld in Bitcoins te eisen om de schade te compenseren.

WAT IS RANSOMWARE?

Ransomware is een type schadelijke software dat, wanneer het een systeem of apparaat infecteert, de bestanden van gebruikers of het hele systeem versleutelt. Hierdoor zijn ze ontoegankelijk en wordt er losgeld gevraagd om de gegevens te herstellen.

Meestal verschijnt er een bericht op het scherm waarin de aanvallers beweren dat de bestanden na betaling van een bepaald bedrag via een betaalmethode (vaak cryptovaluta) worden teruggegeven, of dat de gegevens anders worden verwijderd of gecompromitteerd. Zelfs als het losgeld wordt betaald, is er echter geen garantie dat de aanvallers de decryptiesleutel daadwerkelijk zullen verstrekken. Het betalen van het losgeld wordt daarom niet als een definitieve oplossing beschouwd.

Ransomware verloopt doorgaans in verschillende fasen: eerst infiltratie, dan stealth en uiteindelijk bestandsversleuteling. Sommige geavanceerde varianten verplaatsen zich eerst lateraal binnen het netwerk en richten zich op servers of back-ups, waardoor de kans op herstel verder afneemt. Aanvallers stelen en versleutelen soms gegevens, in welk geval extra druk kan worden uitgeoefend door te dreigen de gegevens openbaar te maken als het slachtoffer geen losgeld betaalt.

Deze malware verspreidt zich op verschillende manieren. Phishing-e-mails of e-mailbijlagen met schadelijke code blijven de meest voorkomende methoden. In deze gevallen wordt de malware geactiveerd wanneer gebruikers op een link klikken of een bijlage in een misleidende e-mail openen.

Nepmeldingen vermomd als software-updates worden ook vaak gebruikt om ransomware-netwerken te infiltreren. Besmetting kan ook plaatsvinden via kwaadaardige USB-sticks, kwaadaardige advertentienetwerken (malvertising) of gecompromitteerde bestanden.

Er zijn in het verleden ransomware-incidenten geweest die wereldwijd een grote impact hadden:

De WannaCry-uitbraak in 2017 richtte zich op zorginstellingen en talloze kritieke infrastructuren en trof miljoenen apparaten; de Petya/NotPetya-uitbraak in datzelfde jaar had een verwoestende impact, eiste losgeld en vernietigde gegevens permanent. In de afgelopen jaren zijn georganiseerde groepen zoals LockBit ontstaan ​​met geavanceerde campagnes die zich op zakelijke doelwitten richten.

Deze gevallen laten zien dat ransomware niet alleen een risico vormt voor individuele gebruikers, maar ook voor nutsbedrijven, zorginstellingen en grote bedrijven.

De meest effectieve beschermingsbenaderingen zijn onder meer regelmatige back-ups, het up-to-date houden van software en besturingssystemen, het gebruiken van sterke wachtwoorden en meervoudige verificatie en het niet openen van onbekende e-mailbijlagen of verdachte links.

Het offline of in een veilige cloudomgeving opslaan van back-ups kan gegevensherstel na een aanval garanderen. Bovendien kan het implementeren van preventieve beveiligingsmaatregelen, zoals endpoint security-oplossingen, netwerksegmentatie en penetratietests, de veerkracht van organisaties vergroten.