Ahold Delhaize, moederbedrijf van Albert Heijn, is getroffen door een grote ransomware-aanval. Het Russische hackerscollectief INC Ransom claimt de aanval en stelt 6 terabyte aan data te hebben gestolen. Het bedrijf bevestigt een incident uit november, maar geeft aan dat het onderzoek nog loopt terwijl de hackers nu dreigen met het openbaar maken van de buitgemaakte gegevens.
Ahold Delhaize heeft tegenover BNR bevestigd dat het gaat om een incident dat al in november vorig jaar plaatsvond. Hoewel de aanval al maanden geleden plaatsvond, komt INC Ransom nu pas naar buiten met de claim. De hackers dreigen de gestolen gegevens openbaar te maken als niet aan hun eisen wordt voldaan. Wat die eisen precies zijn, is nog onduidelijk. Ahold Delhaize meldt dat het destijds enkele systemen offline heeft gehaald om de aanval te beperken, maar dit heeft blijkbaar niet kunnen voorkomen dat de aanvallers alsnog grote hoeveelheden data hebben bemachtigd.
Amerikaanse tak getroffen
Vooral de Amerikaanse tak van het voedingsconcern ondervond volgens Ahold Delhaize problemen. Verschillende apotheken en online verkoopkanalen in de Verenigde Staten werden getroffen door de hack. Of er recenter nog contact is geweest tussen de hackers en het bedrijf, kon de woordvoerder niet aangeven.
INC Ransom heeft inmiddels al enkele documenten vrijgegeven om de ernst van de situatie te onderstrepen. Volgens ethisch hacker Peter Lahousse, die bij BNR melding deed van de aanval, gaat het voorlopig om oudere documenten. “Ze beginnen met het lekken van oude data. Hoe meer tijd er verstrijkt, hoe meer er online komt,” aldus Lahousse.
Onder de gelekte documenten bevinden zich onder meer geheimhoudingsverklaringen van bezoekers aan Ahold Delhaize-locaties en kopieën van ID-bewijzen. Hoewel het aanvankelijk voornamelijk om Amerikaanse gegevens lijkt te gaan, claimt het collectief ook Nederlandse documenten in bezit te hebben.
Actieve ransomwaregroep
INC Ransom is sinds de zomer van 2023 actief en heeft sindsdien talloze organisaties aangevallen. De groep maakt gebruik van double extortion, waarbij de data zowel gestolen als versleuteld wordt en er losgeld wordt geëist voor zowel het geheimhouden als het ontsleutelen van de gegevens.
Het is geen uitzondering dat bedrijven besluiten te betalen. Uit onderzoek blijkt dat ongeveer 61 procent van de organisaties die getroffen worden door ransomware uiteindelijk het losgeld betaalt. De gemiddelde kosten van een cyberincident voor organisaties bedragen rond de 4,9 miljoen euro.
Begin dit jaar viel INC Ransom ook een kinderziekenhuis in Liverpool aan, wat aantoont dat de groep weinig scrupules heeft bij het kiezen van doelwitten. Hoewel nooit met zekerheid is vastgesteld waar de groep opereert, wordt Rusland algemeen beschouwd als thuisbasis van de cybercriminelen.
Het incident bij Ahold Delhaize past in een trend van toenemende ransomware-aanvallen op de retailsector, hoewel dit incidenteel lijkt door een Cleo-lek waarmee de Clop-ransomwaregroep enorm veel aanvallen weet uit te halen.