Ransomware WannaCry wist zich begin mei via een lek in Windows razendsnel wereldwijd te verspreiden.
Het nieuwe virus dat dinsdagmiddag opdook, maakt volgens beveiligingsonderzoekers van onder meer Kaspersky misbruik van hetzelfde lek als WannaCry. Toch is dat lek niet de enige manier waarop de nieuwe ransomware computers aanvalt, zegt Ronald Prins, directeur van beveiligingsbedrijf Fox-IT.
Wat is ransomware?
- Ransomware, ook wel gijzelsoftware, versleutelt bestanden en eist losgeld om die weer vrij te geven.
- De uitbraak van dinsdag eist in Nederland al meer slachtoffers dan WannaCry.
- Het nieuwe virus misbruikt hetzelfde lek maar is complexer.
"Het zit complexer in elkaar en gebruikt trucjes om vooral in bedrijven via het netwerk toegang te krijgen tot andere computers", aldus Prins. Daardoor kunnen ook computers met de laatste updates besmet raken.
Hoe bedrijven in de eerste plaats met de nieuwe ransomware besmet raken is nog niet duidelijk. Vermoed wordt dat in ieder geval malafide e-mails een rol spelen. Het lijkt echter niet om een gerichte aanval te gaan.
De ransomware vraagt na besmetting om zo'n 300 dollar, te betalen in bitcoin. Experts raden echter af te betalen. Bovendien werd het e-mailadres waarmee bij betaling gecorrespondeerd moet worden door provider Posteo geblokkeerd.
Gevolgen
De gevolgen van de nieuwe ransomware zijn ook ingrijpender dan bij WannaCry. "Backups terugzetten heeft geen zin, deze ransomware maakt Windows onbruikbaar", aldus Prins.
Bedrijven moeten hun systemen daarom helemaal opnieuw installeren, waardoor de hersteltijd langer is dan bij WannaCry.
Beveiligingsbedrijf ESET zegt dat de ransomware zich in eerste instantie heeft verspeid via een malafide update van Oekraïense boekhoudsoftware M.E. Doc. Er bestaat nog onenigheid over welke ransomware het gaat. Eerder op de dag dachten experts dat het om de ransomware Petya ging, die in 2016 al in voornamelijk Duitsland actief was.
Ondertussen lijkt het te gaan om een aan Petya verwant virus, dat op een vergelijkbare manier te werk gaat. Beide virussen vallen Windows op het bestandsniveau aan waardoor de besmetting snel en volledig toeslaat.
Nederland
Wel is duidelijk dat de gevolgen van de nieuwe ransomware voor Nederland nu al groter zijn dan bij WannaCry. Toen bleef het aantal Nederlandse slachtoffers beperkt.
Het eerst bekende Nederlandse slachtoffer was dinsdagmiddag het Rotterdamse containerbedrijf APM Terminals. Dat kon meerdere containerschepen niet lossen door geblokkeerde computers. Ook moederbedrijf Maersk werd wereldwijd getroffen.
Later werd bekend dat ook medicijnfabrikant MSD was getroffen, waardoor de productie op de locaties Oss en Haarlem deels stil kwam te liggen. Ook pakketbezorger TNT Express en de Nederlandse tak van bouwmaterialengroothandel Raab Karcher zijn door de ransomware getroffen, beiden met nog onbekende gevolgen.
Politie
In de nacht van dinsdag op woensdag nam de website van de politie maatregelen tegen de ransomware. Bij berichten verstuurd vanaf de site worden extra beveiligingschecks uitgevoerd, om te voorkomen dat er malware bij de politie binnenkomt. Hierdoor duurt het langer totdat de politie verstuurde berichten ontvangt.
De extra checks hebben te maken met de ransomware-uitbraak. "Dit is een voorzorgsmaatregel zodat wij daar geen slachtoffer van kunnen worden", aldus de woordvoerder.
Oekraïne
De ransomware maakt wereldwijd slachtoffers. Vooral in Oekraïne en Rusland lijkt de uitbraak groot; daar werden ook de eerste aanvallen gemeld. In Oekraïne werden energiebedrijven, banken en een systeem dat omgevingsstraling bij de kernreactor Tsjernobyl monitort getroffen. Ook de Russische oliegigant Rosneft en staalproducent Evraz zeggen doelwit te zijn van een cyberaanval.
Mogelijk is de grootste verspreiding van de ransomware al achter de rug. "Mijn onderbuik zegt dat we de grootste golf vandaag hebben gehad", zeiErik de Jong, Chief Research Officer van Fox-IT dinsdagavond.