Oiltanking Deutschland en Mabanaft, twee oliebedrijven in Duitsland, werden in het afgelopen weekend geraakt door een cyberaanval. Ook Evos, een gas- en olieopslagbedrijf met een locatie in Terneuzen, lijkt door een verwante aanval getroffen te zijn.

Een deel van de productiesystemen van Oiltanking en Mabanaft liggen eruit. Duizenden tankstations van klanten schakelden over op alternatieve leveranciers. Marketscreener (website) beweerde gisteren dat er zes andere olie- en gasopslagplaatsen van Sea Tank, Oiltanking en Evos in Nederland en België werden geraakt.

Evos, een opslagbedrijf voor onder andere olie en gas, bevestigt het nieuws. “De IT-diensten van onze terminal in Terneuzen zijn ontregeld, waardoor de uitvoering enige vertraging heeft”, zegt een woordvoerder.

Niemand lijkt te weten waar de aanval vandaan kwam, hoe de malware te werk gaat en waarom de organisaties zijn geraakt. Weten Oiltanking en Mabanaft het wél, dan zeggen ze dat liever niet. We zochten naar antwoorden in de securityindustrie. Paul Visch, Regional Manager Benelux bij Lookout, analyseerde het incident.

“De timing is opvallend”, vertelt Visch. “Onlangs dreigde Rusland om zijn oliepijpleidingen naar Europa af te sluiten in verband met de crisis in Oekraïne. Er is niet nog genoeg informatie beschikbaar om te zeggen wie verantwoordelijk was, maar hoe dan ook zagen de aanvallers een kans om nog meer druk uit te oefenen op Duitsland, dat een van de grootste verbruikers is van Russische brandstof in Europa.”

Ransomware

Vorig jaar liet ransomware-aanval op Colonial Pipeline in de VS zien hoe ontwrichtend een cyberaanval op kritieke infrastructuur kan zijn. Visch reageert: “Het is nog niet bekend of het hier om een ransomware-aanval gaat. Wel zal het Oiltanking en Mabanaft zeker tijd kosten om de bedrijfsoperaties te herstellen.”

“Het kost organisaties doorgaans tussen de 650.000 en 1,6 miljoen euro om te herstellen van een omvangrijke ransomware-aanval, waarbij de kosten van verloren omzet ten gevolge van het incident nog niet eens zijn meegerekend.”

Visch benadrukt dat het type van de aanval op Oiltanking en Mabanaft meestal begint bij het misbruik van gestolen logingegevens, malware die via e-mail of collaborationplatforms bij gebruikers wordt afgeleverd, of een kwetsbare server of app.