Gijzelsoftware legt opnieuw bedrijven plat

Amsterdam

Onder meer een groot terminalbedrijf in de Rotterdamse haven, pakketbezorger TNT Express en medicijnfabrikant MSD gingen onderuit.

Van de landen waar het nieuwe virus toesloeg, werd met name Oekraïne hard getroffen. Zo kwam de energiesector van het land onder vuur te liggen; in de kerncentrale van Tsjernobyl werd de controlekamer ontregeld en moest een noodprocedure in gang worden gezet om handmatig eventuele straling te meten. Daarnaast werden diverse Oekraïense banken en overheidsinstanties platgelegd en waren er verstoringen op de luchthaven van Kiev. In Rusland moest staatsoliebedrijf Rosneft vanwege de malware overschakelen op noodsystemen. Ook in andere delen van de wereld liepen bedrijven averij op. In de Verenigde Staten raakten de computers van medicijnmaker Merck ontregeld.

De nieuwe aanval vertoont overeenkomsten met de grootschalige gijzelingsacties door het WannaCryvirus afgelopen mei. Vorige maand werden wereldwijd in korte tijd 200.000 computers in 150 landen aangevallen en op slot gezet. Pas na betaling van losgeld werd de versleuteling van bestanden ongedaan gemaakt.

twee varianten

Christiaan Beek, onderzoeker bij beveiliger McAfee, zei gisteren dat sprake lijkt van twee varianten van het nieuwe virus. De ene zou een beperkt aantal bestanden versleutelen, terwijl het tweede een heel systeem platlegt. Net als de vorige keer zijn Windows-computers kwetsbaar, al was gisteren nog niet duidelijk welke versies van het besturingssysteem gevaar lopen. Maker Microsoft had al in maart reparatiesoftware beschikbaar gesteld, maar niet alle bedrijven hebben deze zogenoemde patch al geïnstalleerd. Bovendien zijn computers ook nog altijd te besmetten via een e-mail waarin de schadelijke software verstopt zit, zegt computerbeveiliger Loran Kloeze.

Hoofdonderzoeker Albert Kramer van beveiligingsbedrijf Trend Micro spreekt van een ‘heel interessante’ aanval. Net als bij WannaCry is er iets vreemds aan de hand, stelt hij. Aan de ene kant zit het nieuwe virus geraffineerd in elkaar. Het lijkt zich heel gericht te verspreiden en houdt rekening met tijdzones en taalinstellingen. Aan de andere kant maakt het – net als bij Wannacry – gebruik van een statisch bitcoinadres waarop de betalingen moeten binnenkomen. Kramer: ‘Dat is echt raar, omdat je door een adres te gebruiken niet weet wie een betaling heeft gedaan.’ Hierdoor is het voor de maker van het virus nauwelijks bij te houden wie de sleutel moet krijgen om de computerdata weer leesbaar te maken.

Het aantal betalingen was gisteren gering: in de loop van de avond bleef de teller steken op 27, goed voor drie bitcoin, omgerekend iets meer dan 6000 euro. Zowel Trend Micro als ­McAfee houdt hierom rekening met ‘iets anders’ dan het binnenharken van geld met een handvol bitcoin. ‘Misschien is het een afleidingsmanoeuvre’, zegt Kramer. Waarvoor is echter een raadsel.

Hoe het virus precies werkt, is nog onduidelijk. Wel is duidelijk dat het een code heeft die de computer laat ­crashen zodra het zich heeft genesteld in de pc. Als deze daarna opnieuw opstart, neemt de schadelijke software het besturingssysteem over en worden bestanden of de hele harde schijf versleuteld, en verschijnt een melding waarin losgeld wordt geëist.

In Nederland werd onder meer het Deense containerbedrijf Maersk getroffen. Computersystemen van dochter APM Terminals gingen plat, waardoor dinsdagmiddag een deel van de Rotterdamse haven kwam stil te liggen. APM is een van de grootste terminals van Europa. Wereldwijd raakten veertien terminals van het bedrijf buiten gebruik. Ook zou geen communicatie meer mogelijk zijn met schepen van Maersk. Verder waren websites van het grootste containerbedrijf ter wereld onbereikbaar. <