Ransomwaregroep Cactus heeft ook Nederlandse slachtoffers gemaakt, blijkt uit een gezamenlijk onderzoek van Fox-IT, Northwave en Responders. De getroffen organisaties hadden hun Qlik Sense-server niet geüpdatet, de server waarop ze data-analyses uitvoeren. Hierdoor konden de criminelen ongeoorloofd binnendringen in de it-omgevingen en mogelijk een ransomware-aanval opzetten.
Cactus pleegde tussen eind 2023 en april 2024 wereldwijd verschillende aanvallen aan de hand van de kwetsbaarheid op Qlik Sense-servers. Leverancier Qlik (voorheen Qliktech) heeft inmiddels updates uitgebracht, waardoor binnendringen niet meer mogelijk is en ransomware-aanvallen worden afgewend. De in Nederland getroffen organisaties zijn door het Digital Trust Center (DTC) op de hoogte gebracht van de kwetsbaarheid.
Het onderzoek naar het beveiligingslek vond plaats in het kader van Project Melissa, een samenwerking tussen het Openbaar Ministerie, de politie, het Nationaal Cyber Security Centrum, Cyberveilig Nederland en securitybedrijven Kennedy Van der Laan, Computest, Data Expert, Deloitte, Fox-IT, NFIR, Northwave, Tesorion en Trellix. Mede dankzij dit cyberproject werden diverse internationale hackersgroepen opgerold. Bij het specifieke onderzoek naar Cactus was ook Eset Nederland betrokken.
Volgens de onderzoekers zijn er wereldwijd ongeveer 5.200 Qlik Sense-servers benaderbaar via internet, waarvan 3.100 kwetsbaar zijn en 122 daadwerkelijk zijn uitgebuit door criminelen.