FortiBleed-cyberaanval treft Nederlandse IT-keten
De grootschalige internationale cyberaanval 'FortiBleed' heeft geleid tot een omvangrijke inbreuk binnen de Nederlandse publieke en private sector. Minstens 279 Nederlandse organisaties – waaronder lokale overheden, scholen en advocatenkantoren – zijn getroffen. Bij 136 van hen hebben de aanvallers op dit moment nog altijd actieve administratorrechten op de firewall, waardoor de digitale achterdeur wagenwijd openstaat. Dat blijkt uit gezamenlijk onderzoek van cybersecuritybedrijf Secutec en de Threat Research Unit van SOCRadar.
Met wereldwijd meer dan 75.000 gecompromitteerde firewalls van fabrikant Fortinet en ruim 110 miljoen onderschepte aanmeldgegevens, geldt FortiBleed als een van de grootste incidenten ooit bij een securityleverancier. De aanval, die sinds begin 2026 loopt, richt zich specifiek op het partnerportaal van Fortinet. IT-dienstverleners gebruiken dit portaal om de netwerkomgevingen van hun klanten te beheren. Door een kwetsbaarheid wisten de aanvallers de inloggegevens van tienduizenden partners te bemachtigen, met een enorme ketenreactie tot gevolg.
Gebrekkige IT-hygiëne
De impact in Nederland is aanzienlijk, mede door structurele kwetsbaarheden in de basisbeveiliging. Secutec stelde vast dat bij geen enkele van de onderzochte firewalls multifactorauthenticatie (MFA) was ingeschakeld. Daarnaast hanteerden IT-partners vaak identieke wachtwoorden voor verschillende klanten en draaide 85 procent van de getroffen systemen op verouderde firmware.
De aanvallers, die worden gelinkt aan een strak georganiseerd Russisch collectief, maken gretig misbruik van deze openstaande deuren. Op de helft van de onderzochte Nederlandse firewalls zijn inmiddels al nieuwe, door de hackers zelf aangemaakte accounts aangetroffen om permanente toegang te garanderen.
Nieuw verdienmodel
Eenmaal binnen installeren de cybercriminelen de malware FortigateSniffer, waarmee ze al het netwerkverkeer monitoren en inloggegevens buitmaken. Dit past binnen een duidelijke verschuiving in de werkwijze van cybercriminelen. "Waar ransomware-aanvallen vroeger vooral gericht waren op het versleutelen van data, verschuift de focus nu naar het stelen en verhandelen van toegang en gegevens," verklaart Geert Baudewijns, CEO van Secutec. Bij deze zogeheten Initial Access Brokerage worden netwerktoegang en geëxfiltreerde bedrijfsinformatie verzameld om later te worden doorverkocht op het dark web of te worden gebruikt voor gerichte afpersing.
NCSC ingelicht
Aangezien de infrastructuur van de aanvallers nog altijd operationeel is en dagelijks nieuwe slachtoffers maakt, heeft Secutec het Nationaal Cyber Security Centrum (NCSC) en Europese CERT-instanties officieel op de hoogte gebracht.
Baudewijns waarschuwt dat dit type grootschalige ketenaanvallen de komende jaren alleen maar zal toenemen: "FortiBleed illustreert hoe kwetsbaar het huidige ecosysteem van IT-dienstverlening is geworden, waarbij één enkele zwakke schakel kan leiden tot toegang tot honderden organisaties tegelijk." Organisaties die Fortinet-apparatuur gebruiken, worden dringend opgeroepen om direct firmware-updates door te voeren, accounts te controleren en MFA te activeren.
Meer over cybercrime
Over Witold Kepinski
