Er is sprake van een nieuwe, mondiale aanval met ransomware. De omvang is nog niet geheel duidelijk. Het zwaartepunt ligt in de Oekraïne en Rusland. De gijzelingsmalware heeft echter ook een aantal Nederlandse organisaties getroffen, meldt de NOS. Bij ransomware wordt een pc versleuteld en pas na betaling van losgeld - meestal bitcoins - weer vrijgegeven.
Onder de Nederlandse getroffen bedrijvencontainerterminal APM in Rotterdam, TNT Post en minimaal twee klanten van IT-beveiligingsbedrijf Fox-IT. Ook het moederbedrijf van APM, Maersk, is getroffen, evenals een vestiging van APM in Marokko. Verder zijn er problemen door de ransomware-aanval bij geneesmiddelengroothandel MSD. Een woordvoerder laat weten de omvang nu aan het onderzoeken te zijn.
Het Nationaal Cyber Security Centrum (NCSC) heeft de aanval bevestigd. Het NCSC stelt nauw contact te hebben met relevante sectoren en CERT’s (Computer Emergency Response Teams) in andere landen over deze aanval. Momenteel wordt onderzocht welke ransomware is gebruikt en op welke wijze systemen geïnfecteerd worden. Vorige week bracht de NCTV nog het Cybersecuritybeeld Nederland 2017 uit waarin werd gewaarschuwd voor de toenemende digitale dreiging, ook in Nederland. De digitale weerbaarheid van Nederland lijkt achter te blijven bij de dreiging.
Bij de huidige aanval dachten security-experts eerst dat er een nieuwe variant van de zogenoemde Petya-ransomware werd gebruikt. Het lijkt echter te gaan om een verwant virus. Half mei was er eveneens een mondiale aanval, toen met malware onder de naam WannaCry. Deze aanval begon in het Verenigd Koninkrijk, maar trof uiteindelijk 200.000 organisaties en personen in 150 landen. Gemiddeld moest er per versleutelde pc 300 dollar betaald worden om de encryptie op te heffen. In Nederland werd er geen vitale infrastructuur getroffen.
Geen gerichte aanval, wel groter dan Wannacry
Volgens Erik de Jong, Chief Research Officer van Fox-IT, is er geen sprake van een gerichte aanval. Wel lijkt de huidige aanval omvangrijker te zijn dan WannaCry halverwege mei. Ook het Nederlandse consultancybureau EY meldt een aanval. "Bij vier van onze klanten heeft dat momenteel grote gevolgen," aldus Douwe Mik van EY. tegenover de NOS. Beveiligingsleverancier DearBytes geeft aan dat vier klanten getroffen zijn. Volgens RTV Oost zijn pc's van bouwmaterialengroothandel Raab Karcher besmet.
Uit een eerste overzicht van security-leverancier Kaspersky blijkt dat behalve de Oekraïne met name Rusland zwaar getroffen is. Bij de aanval lijkt een nieuwe variant van de zogenoemde Petya-ransomware te worden gebruikt. De aanval lijkt te zijn begonnen in Oekraïne: daar zijn veel bedrijven in verschillende sectoren getroffen, waaronder energiebedrijf Kyivenergo en het nog minder zwaar getroffen Ukrenergo. Daarnaast komen veel meldingen binnen uit India. Persbureau AFP meldt dat enkele controlesystemen van de kernreactor Tsjernobyl getroffen zijn. Ook de Russische olieleverancier Rosneft en staalproducent Evraz geven aan doelwit te zijn van de cyberaanval.
Nieuwe aanval gebruikt zelfde lek als Wannacry
De nieuwe ransomware maakt volgens beveiligingsbedrijf Avira misbruik van hetzelfde Windows-lek als WannaCry. In Nieuwsuur stelde directeur Ronald Prins van Fox-IT dat de nieuwe ransomware geavanceerder is dan WannaCry en nog twee andere kwetsbaarheden in software kan aanspreken. Ook pc's met updates zijn daardoor kwetsbaar. Het virus valt Windows op het bestandsniveau aan waardoor de besmetting snel en volledig toeslaat. Bovendien heeft het terugzetten van een backup geen zin omdat de malware Windows zelf onbruikbaar maakt. Dit zorgt voor een langere hersteltijd.
Microsoft had al in mei bij uitzondering een patch uitgebracht om de kwetsbaarheid te verhelpen. Toen, net als nu, blijken veel organisaties bij pc's en andere apparatuur met de verouderde Windows-software nog altijd niet deze update te hebben doorgevoerd. Er wordt ook nu om 300 dollar gevraagd om de gijzeling van een pc opgeheven te krijgen.
