Wat we tot nu toe weten over de ransomware-aanval
In Nederland en andere Europese landen hebben verschillende organisaties computerproblemen door een grote aanval met zogenoemde ransomware. Het virus versleutelt bestanden en eist losgeld voor de sleutel. Wat weten we tot nu toe?
Hoe grootschalig is de uitbraak?
Er lijken organisaties in verschillende Europese landen getroffen. Vooral Rusland en Oekraïne zijn doelwit, maar daarnaast ook Polen, Italië, Duitsland en Frankrijk, aldus Kaspersky Lab. Het beveiligingsbedrijf spreekt over zo’n tweeduizend aangevallen gebruikers tot nu toe.
Ook Nederlandse organisaties zijn getroffen. Zeventien containerterminals van Maersks dochterbedrijf APM, waaronder twee in Rotterdam, zijn besmet met de gijzelsoftware. Ook pakketvervoerder TNT Express liet weten dat het last heeft van 'inmenging' in sommige systemen. Het bedrijf is bezig de situatie in kaart te brengen en maatregelen te treffen. Medicijnfabrikant MSD is ook getroffen door een cyberaanval. Het gaat om de locaties in Oss en Haarlem, en waarschijnlijk ook om fabrieken in andere landen. De productie ligt deels stil. Het bedrijf kan niet zeggen of er sprake is van ransomware en hoe lang het duurt om de systemen te herstellen.
De uitbraak doet denken aan WannaCry. Is dat terecht?
De overeenkomsten met WannaCry, de gijzelsoftware die vooral vorige maand toesloeg, zijn er zeker, zegt Rolf van Wegberg, die aan de TU Delft onderzoek doet naar de verdienmodellen van internetcriminelen. “Vooral wat betreft de verspreiding. Het virus maakt gebruik van dezelfde kwetsbaarheid in systemen om binnen te komen. Die kwetsbaarheid is inmiddels via een update gedicht. Dat zou dus betekenen dat bedrijven die nu getroffen worden die update niet hebben gedaan.”
Het virus lijkt zich ook op een vergelijkbare manier te gedragen, zegt Van Wegberg. “Het gebruikt de kwetsbaarheid om bij een computer binnen te komen, en als dat eenmaal is gelukt gaat het zich automatisch over het hele systeem verspreiden. Het is dus heel besmettelijk.”
Wel gaat het om een andere variant ransomware dan WannaCry. Want zoals er verschillende varianten van de griep bestaan, geldt dat ook voor gijzelsoftware. Door welke variant bedrijven nu getroffen worden, is nog wat onduidelijk. De naam van Petya gaat veel rond, ransomware die al sinds 2015 bestaat. Maar Kaspersky Lab spreekt dat tegen, en noemt het virus daarom NotPetya.
Is er al iets te zeggen over het doel?
Dat is nog speculeren op dit moment. Van Wegberg noemt het wel opvallend dat de ransomware zich vooral op bedrijven lijkt te richten. Daarin ziet hij, zo vlak na WannaCry, een trendbreuk. “Ransomware werd eerst vooral ingezet richting consumenten om geld te verdienen. Dat kan gaan om veel geld. Wij hebben daar aan de TU Delft onderzoek naar gedaan en daaruit bleek bijvoorbeeld dat je met duizend infecties, zo’n 6000 euro winst kan maken.”
Opvallend vindt Van Wegberg ook dat er bij WannaCry gebruik werd gemaakt van maar een paar bitcoinaccounts (bitcoin is een virtuele valuta waarmee je vrijwel anoniem geld kunt overmaken). Dat lijkt bij dit huidige virus opnieuw het geval. “Terwijl je bij ransomware vaak ziet dat elk slachtoffer een uniek account krijgt waar hij bitcoins naar moet overboeken, zodat de check dat er betaald is, en het versturen van de sleutel, automatisch kan gebeuren. Moet je dat allemaal met de hand doen, dan kan dat ontzettend veel tijd kosten. Vooral bij een grootschalige uitbraak.”