2 dagen geleden
4
„Italy shame on you”, sneert hackersgroep Nova boven een ronkend bericht over een succesvolle aanval met hun gijzelsoftware. Het slachtoffer: de Italiaanse gemeente Pisa.
Alleen weigert Pisa losgeld te betalen en dat maakt de hackers razend. „Maffialand? Het is nu een land met clowns”, schrijft Nova 10 mei op hun darknetsite. „Ze hebben geen enkele intentie om een klein beetje te betalen – 2 miljoen dollar – voor het lek dat we aantroffen.”
Italië is daarmee al een paar maanden langer dan Nederland bekend met Nova, de hackersgroep die ook achter de aanval op het laboratorium van Clinical Diagnostics in Rijswijk zit. Tijdens die hack werden medische en persoonlijke gegevens van duizenden patiënten en deelnemers aan het Nationaal Bevolkingsonderzoek buitgemaakt.
En wie Nova niet betaalt, zal zijn data uit zien lekken. Op Nova’s site kan maanden na de hack nog steeds 28 gigabyte data van de Italiaanse gemeente gedownload worden. Het zijn mappen genaamd ‘downloads’ en andere folders met cryptische bestandsnamen. „Deel II van de data volgt”, dreigt de groep. „Ga maar hulp vragen van ACN [het Italiaanse cybersecuritycentrum]. Veel plezier met de data.”
Franchises
Nova werkt sinds dit voorjaar op ondergrondse fora hard aan zijn naamsbekendheid, blijkt uit onderzoek van NRC. De succesvolle hack op het Nederlandse lab zal daar alleen maar aan bijdragen. Nova wil meer cybercriminele onderaannemers, ‘affiliates’, aantrekken om meer slachtoffers te maken en nog meer geld te verdienen.
Op de achtergrond zijn we al aan het werk bij Clinical Diagnostics
Het tableau van ransomware-groepen wisselt constant: bendes worden opgerold, heffen zichzelf op of verdwijnen simpelweg van de radar. Nova is dan weer een ‘rebranding’ van een eerdere groep, genaamd RALord.
Stan Duijf, hoofd Operatiën bij de Nationale Politie en baas van het team High Tech Crime, kende Nova dan ook nog niet. „Inmiddels hebben ze onze aandacht”, zegt Duijf tegen NRC. „Op de achtergrond zijn we al aan het werk bij Clinical Diagnostics.” Over het onderzoek kan hij verder niets loslaten.
De politie, zegt Duijf, is vanuit eerdere onderzoeken bekend met de modus operandi van bendes als Nova. Die is altijd hetzelfde: dubbele afpersing met gijzelsoftware. Eerst nemen hackers computers in gijzeling door de systemen te versleutelen zodat ze onbruikbaar worden. Als dan nog geen losgeld betaald wordt, publiceren ze gevoelige gegevens van hun slachtoffers die ze tijdens de hack gestolen hebben.
„Dit type ransomware-ondernemingen zijn franchises”, zegt Duijf. Vergelijkbaar met supermarkt- of fastfoodketens die de formule, het merk en infrastructuur beschikbaar stellen en de uitvoering uitbesteden aan lokale filiaalhouders. „Bij ransomware licenseren ze de software.” Niet iedere hacker kan zulke malware programmeren, terwijl dat gereedschap – dat onder de radar moet blijven van antivirussoftware – een belangrijke factor is in het succes van hackers.
Cybercriminele onderaannemersmoeten zich inkopen, en soms een deel van het geïnde losgeld afstaan. „Als die kwaadaardige software op grote schaal wordt afgenomen, heb je een goed businessmodel te pakken. Jij staat op afstand van de slachtoffers en loopt dus ook minder risico”, zegt Duijf. De affiliates knappen het vuilere werk op.
Welkom bij Nova
Nova wil zo’n grote ransomware-groep worden. Sinds een paar maanden werft de groep actief nieuwe affiliates, blijkt uit berichten op een cybercrimeforum. Voor 5.000 dollar in cryptovaluta kunnen hackers Nova’s software gebruiken, is te lezen in een introducerend bericht op 11 juni. Iedere hacker is welkom: de affiche is in zes talen gedeeld. Het Russische bericht staat bovenaan.
Nova vraagt als nieuwe bende relatief weinig afdracht: 10 procent van het losgeld, waar een groep als Lockbit het dubbele vroeg. Nova doet veel zelf om nieuwe leden aan te trekken: de groep wil hackers helpen bij het kraken van hun slachtoffers, Nova claimt lijsten met kwetsbare computers te delen met hun affiliates, er is een speciale chatroom waar andere hackers toegang tot kwetsbare of al gehackte machines kunnen verkopen.
De software staat centraal: als Nova zijn malware bijwerkt, worden online de nieuwste features trots gepresenteerd in de hoop meer affiliates te trekken. Bij een commercieel bedrijf horen ook targets en bonussen: affiliates die niet leveren worden na een maand uit de groep gezet. Succesvolle werknemers worden betere tarieven en nóg betere software in het vooruitzicht gesteld.
Stroeve onderhandelingen worden breed uitgevent, en dienen als waarschuwing voor andere slachtoffers
Twintig slachtoffers
Wie voorbij de marketingpraat van Nova kijkt, ziet een berekenende afpersingsoperatie die sinds eind maart data van zo’n twintig bedrijven en organisaties lekte. De gegevens van het laboratorium van Clinical Diagnostics staan daar niet tussen.
De slachtoffers van Nova zijn overheden, techbedrijven en andere dienstverlenende bedrijven in Europese landen en ver daarbuiten. Tussen de encryptie van de harde schijven en de publicatie van de data zit gemiddeld zo’n tien dagen. In Frankrijk is een scholengemeenschap gehackt.
De darknetsite van Nova moet slachtoffers bang maken en isoleren. In een artikel wijst Nova fijntjes op Europese privacywetgeving. Voor een datalek kunnen organisaties hoge boetes krijgen, waarschuwt Nova. „Het is beter om ons te betalen.” Hulp vragen aan cybersecuritybedrijven is zinloos, stelt Nova: „Ze zullen je geld stelen met woorden en kunnen je bestanden niet ontsleutelen noch het lekken daarvan tegenhouden.”
Stroeve onderhandelingen worden breed uitgevent, en dienen als waarschuwing voor andere slachtoffers. Zo claimt Nova in april de Spaanse non-profit Pere Claver Grup gehackt te hebben. Nova richt zich in een nieuwsbericht direct tot de onderhandelaars die de Catalaanse politie ingeschakeld hadden. „Ik weet dat je dit bericht leest. Je maakt problemen in problemen met je onderhandelingen. Misschien moeten we ons richten op de families van de werknemers en het bestuur.”
Nova weet dat dreigen met imagoschade werkt: bedrijven willen voorkomen dat gevoelige data op straat komen te liggen. „We kopen advertenties in op allerlei fora en platformen om de reputatie van dit bedrijf te verpesten”, stelt Nova de Pere Calver Grup in het vooruitzicht. „We wachten op je betaling.”
Het ene lek heeft minder impact dan het andere. Als een organisatie gehackt is, hoeven niet gelijk alle data gestolen of alle computers onherstelbaar beschadigd te zijn
Bluf
De omvang en de impact van de datalekken zet Nova graag dik aan. Op darknetpagina’s houdt de groep per slachtoffer bij hoeveel data gestolen zijn en hoeveel tijd resteert tot de data gelekt worden. Bedrijven die in paniek raken, of niet goed weten wat voor gegevens buitgemaakt zijn, zullen eerder bezwijken onder de druk.
Maar het ene lek heeft minder impact dan het andere. Als een organisatie gehackt is, hoeven niet gelijk alle data gestolen of alle computers onherstelbaar beschadigd te zijn. De Spaanse non-profit die bedreigd werd, meldde dat gegevens van 180 gebruikers gelekt zijn bij een cyberaanval – volgens de groep een fractie van het cliëntenbestand. Het incident werd gemeld bij de relevante autoriteiten, en de organisatie kon zonder problemen back-ups herstellen. Losgeld betalen is dan onnodig.
Ook in Pisa zit er veel licht tussen Nova’s dreigende taal en de reactie van het gemeentebestuur. Ja: een afdeling van de gemeente is gehackt, zei de verantwoordelijke wethouder tijdens een raadsvergadering die op YouTube werd uitgezonden. Maar het gaat om „maandelijkse werktijdbonnen, vakantieroosters en managementgesprekken” van de milieuafdeling. Daarin blijken na onderzoek persoonsgegevens van 33 medewerkers te zitten, van wie sommige al met pensioen zijn, en twee burgers. Van een groot datalek is daarmee geen sprake, zegt de wethouder.
Nova lijkt zich er ook bij neer te leggen. Het beloofde tweede deel van de data is vooralsnog niet op de darkwebsite gepubliceerd.
Nieuw goud
Bij Clinical Diagnostics bezweert Nova 300 gigabyte buit te hebben gemaakt. Een sample stond al sinds begin juli online. Clinical Diagnostics denkt niet dat meer data uitlekken. Of afspraken met of betalingen aan Nova zijn gedaan, zegt het bedrijf niet. RTL Nieuws meldde vorige week dat inderdaad losgeld uitgekeerd is.
Of Nova de start-upfase zal ontgroeien, zal de tijd moeten leren. De hack op het laboratorium laat in ieder geval zien dat het een kwestie van tijd is voor hackersgroepen als Nova systemen hacken die wél waardevolle informatie bevatten. Kwetsbare systemen zullen er altijd zijn.
„Zolang er betalingen volgen, zullen er gijzelsoftwaregroepen zijn”, zegt politietopman Stan Duijf. Gemiddeld vraagt een ransomwaregroep 1 procent van de omzet, weet hij. „Ik snap dat bedrijven die helemaal stil liggen losgeld betalen. Maar wij als politie zeggen altijd: betaal niet.”
De impact van zulke hacks zal alleen maar toenemen, voorspelt Duijf. „De hoeveelheden data die bedrijven hebben nemen alleen maar toe. Bedrijven moeten allerlei maatregelen nemen: segmentatie van gegevens en andere basisregels van cybersecurity. Het recept is bekend.” Bedrijven hebben een verantwoordelijkheid om open te zijn als ze gehackt worden, vindt Duijf. „Als data lekken, moeten bedrijven sneller partners en getroffenen informeren en aangifte doen.”
/s3/static.nrc.nl/wp-content/uploads/2025/08/20122707/web-2008ECOBLOGkaartjes.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/08/20112648/data136252206-159102.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/08/20080741/web-2008ECOBLOGasr.jpg)
English (US) ·