Nieuwe wereldwijde hackaanval, ook Rotterdamse haven getroffen
27 juni 2017Weinig waterdruk in deel Friesland door lek in leiding
28 juni 2017Nieuw gijzelvirus is slimmer dan WannaCry-virus van vorige maand
Het ransomware-virus dat dinsdagmiddag opeens wereldwijd opdook, is waarschijnlijk geavanceerder dan de WannaCry-ransomware. Dat zeggen beveiligingsonderzoekers.
WannaCry verspreidde zich vorige maand vanzelf via een beveiligingslek in de code van Microsoft Windows. Als dat lek niet openstond, had het virus geen manier meer om zichzelf te verspreiden.
De nieuwe ransomware-aanval maakt ook gebruik van een lek, maar dat is niet het enige. “Het lijkt er op dat deze nieuwe ransomware zichzelf ook op andere manieren kan verspreiden”, zegt beveiligingsonderzoeker Jornt van der Wiel van Kaspersky. “Ik zou zeggen dat het geavanceerder is.”
Wat is de impact van de aanval?
Wereldwijd hebben bedrijven last van de aanval, waaronder ook grote Nederlandse ondernemingen. Het begon vandaag met APM, een bedrijf dat in de Rotterdamse haven containerterminals heeft. Het moederbedrijf daarvan, Maersk, is wereldwijd getroffen. Naast APM zijn in Nederland ook medicijnfabrikant MSD en pakketbezorger TNT getroffen. Hoe groot de gevolgen zijn bij de laatste twee is nog onbekend.
Het nieuwe virus – waarvan de naam op dit moment nog onbekend is – misbruikt programmaatjes die systeembeheerders gebruiken om computers op afstand te beheren. Op die manier verspreidt het virus zichzelf verder binnen een netwerk van een bedrijf.
Hoe het virus dat precies doet, is nog onbekend. Want standaard zijn die programmaatjes afgeschermd van gewone gebruikers. “Blijkbaar gokt hij gebruikersnamen en wachtwoorden van systeembeheerders, of zijn die ergens gestolen”, zegt beveiligingsonderzoeker Rickey Gevers.
Bovendien lijkt de nieuwe ransomware geen ‘kill switch’ te bevatten. De opmars van de WannaCry-ransomware werd gestuit doordat een Britse beveiligingsonderzoeker een domeinnaam registreerde waar het virus verbinding mee maakte. Dat bleek de uitknop te zijn, waarop de verspreiding stokte. “Zoiets hebben we bij dit nieuwe virus niet gezien”, zegt Van der Wiel.
Het virus raakt vooral bedrijven. Dat lijkt toeval te zijn, zegt Erik de Jong van Fox-IT. “Het lijkt er op dat het een schot hagel is geweest”, zegt hij. Dat er een relatief laag bedrag van circa 260 euro wordt gevraagd om bestanden terug te halen, duidt daar volgens hem op.
Er is nog veel onduidelijk over de nieuwe ransomware-aanval. Onderzoekers kunnen het zelfs niet eens worden over de naam. Volgens onder meer computerbeveiliger ESET gaat het om het zogenoemde Petya-virus, dat al langere tijd rondwaart maar dat nu in een nieuwe gedaante zou zijn teruggekeerd.
Kaspersky is het daar niet mee eens. “We denken echt dat het om een volledig nieuw virus gaat. We hebben ernaar gekeken, en de verschillen zijn te groot.” Het beveiligingsbedrijf heeft het virus daarom ‘NotPetya’ genoemd.
Volgens ESET was Oekraïne het eerste doelwit. De aanvallers zouden hun virus hebben verstopt in boekhoudsoftware en van daaruit zou het virus zich verder hebben verspreid.
Ben ik ook kwetsbaar voor de nieuwe ransomware-aanval?
Tot nu toe zijn er geen berichten van getroffen consumenten. “Het merendeel van de infecties treft bedrijven”, zegt onderzoeker Van der Wiel van Kaspersky. Dat neemt niet weg dat consumenten er wel kwetsbaar voor kunnen zijn. In het algemeen is het een goed advies om niet zomaar onbekende mails te openen; dat geldt in het bijzonder voor de bijlagen. Ook het updaten van je software en besturingssysteem helpt om ransomware-aanvallen tegen te gaan.