Tsjernobyl, de haven van Rotterdam, maar ook uw pakketbezorger getroffen door wereldwijde hack

Van de landen waar het nieuwe virus toesloeg, werd met name Oekraïne hard getroffen. Onder meer de energiesector van het land kwam onder vuur te liggen; in de kerncentrale van Tsjernobyl werd de controlekamer ontregeld en moest een noodprocedure in gang worden gezet om handmatig eventuele straling te meten. Daarnaast werden diverse Oekraïense banken en overheidsinstanties platgelegd en waren er verstoringen op de luchthaven van Kiev. In Rusland moest staatsoliebedrijf Rosneft vanwege de malware overschakelen op noodsystemen. Ook in andere delen van de wereld liepen bedrijven averij op. In de Verenigde Staten raakten de computers van medicijnmaker Merck ontregeld.

De nieuwe aanval vertoont overeenkomsten met de grootschalige gijzelingsacties door het WannaCryvirus afgelopen mei. Vorige maand werden wereldwijd in korte tijd 200 duizend computers in 150 landen aangevallen en op slot gezet. Pas na betaling van losgeld werd de versleuteling van bestanden ongedaan gemaakt.

Politiesite uitgezet

De politie heeft voorzorgsmaatregelen tegen een mogelijke cyberaanval genomen, waardoor niet alle functies op de site politie.nl kunnen worden gebruikt. Een politiewoordvoerster zei dat ingevulde en verstuurde webformulieren mogelijk niet of te laat bij de politie aankomen.

Christiaan Beek, onderzoeker bij beveiliger McAfee, zei maandag dat sprake lijkt van twee varianten van het nieuwe virus. De ene zou een beperkt aantal bestanden versleutelen, terwijl het tweede een heel systeem platlegt. Net als de vorige keer zijn Windows-computers kwetsbaar, al was maandag nog niet duidelijk welke versies van het besturingssysteem gevaar lopen. Maker Microsoft had al in maart reparatiesoftware beschikbaar gesteld, maar niet alle bedrijven hebben deze zogenoemde patch al geïnstalleerd. Bovendien zijn computers ook nog altijd te besmetten via een e-mail waarin de schadelijke software verstopt zit, zegt computerbeveiliger Loran Kloeze.

WannaCry had een soort uitknop waarmee het virus stilgezet kon worden. Deze ontbreekt bij de nieuwe variant, maar er lijkt wel een andere stoplap voorhanden, zegt Victor Gevers van GDI Foundation, een non-profitorganisatie die werkt aan een veiliger internet. 'Door in een bepaalde directory een zogenoemde dll-bestand te zetten, zal die computer niet worden besmet', zegt hij. Het virus blijkt bij elke computer te kijken of dit bestand aanwezig is. Zodra dit bestand wordt aangetroffen, zal de computer niet worden geïnfecteerd. Systeembeheerders kunnen pc's binnen hun organisatie voorzien van dat bestand, en zo tijdelijk een antiserum toedienen. En mocht je besmet raken, dan is het altijd nog het beste je computer meteen uit te zetten als hij opnieuw opstart, adviseert Gevers.

Deel Rotterdamse haven plat

Hoofdonderzoeker Albert Kramer van beveiligingsbedrijf Trend Micro spreekt van een 'heel interessante' aanval. Net als bij WannaCry is er iets vreemds aan de hand, stelt hij. Aan de ene kant zit het nieuwe virus geraffineerd in elkaar. Het lijkt zich heel gericht te verspreiden en houdt rekening met tijdzones en taalinstellingen. Aan de andere kant maakt het - net als bij Wannacry - gebruik van een statisch bitcoinadres waarop de betalingen moeten binnenkomen. Kramer: 'Dat is echt raar, omdat je door een adres te gebruiken niet weet wie een betaling heeft gedaan.' Hierdoor is het voor de maker van het virus nauwelijks bij te houden wie de sleutel moet krijgen om de computerdata weer leesbaar te maken. 'Er is geen enkele reden om het op deze manier te doen', aldus Kramer.

Het aantal betalingen was maandag gering: in de loop van de avond bleef de teller steken op 27, goed voor drie bitcoin, omgerekend een kleine zevenduizend dollar. Zowel Trend Micro als McAfee houdt hierom rekening met 'iets anders' dan het binnenharken van geld met een handvol bitcoin. 'Misschien is het een afleidingsmanoeuvre', zegt Kramer. Waarvoor is echter een raadsel.

U bent gehackt

Op een (inmiddels verwijderde) tweet is een beeldscherm te zien dat volgens het bijbehorende account is gemaakt op een kantoor van APM Terminals in het Indiase Mumbai. De tekst op het scherm meldt dat alle bestanden versleuteld zijn en het slachtoffer 300 dollar (266 euro) in bitcoins moet betalen om de bestanden weer vrij te geven.

Hoewel de precieze werking nog onduidelijk is, is duidelijk dat het virus code heeft dat de computer laat crashen zodra het zich heeft genesteld in de pc. Als deze daarna opnieuw opstart, neemt de schadelijke software het besturingssysteem over en worden bestanden of de complete harde schijf versleuteld, en verschijnt een melding waarin losgeld wordt geëist.

In Nederland werd onder meer het Deense containerbedrijf Maersk getroffen. Computersystemen van dochter APM Terminals gingen plat, waardoor dinsdagmiddag een deel van de Rotterdamse haven stil kwam te liggen. Wereldwijd raakten veertien terminals van APM buiten gebruik. Ook zou geen communicatie meer mogelijk zijn met schepen van Maersk. Verder waren websites van het grootste containerbedrijf ter wereld onbereikbaar.

APM is een van de grootste terminals in Europa. Ongeveer een kwart van de containers in Rotterdam wordt door APM afgehandeld. Andere terminalbedrijven in de Rotterdamse haven zouden niet getroffen zijn door de hack. Als de storing langere tijd duurt, kunnen andere terminals het verkeer van Maersk tijdelijk overnemen. Dit gebeurt geregeld in geval van calamiteiten, zoals tijdens een recente storm.