Nog steeds veel onduidelijk over grote virusaanval
Er is nog steeds veel onduidelijk over de grote virusaanval die vooral Oekraïne zwaar trof, maar ook in Nederland schade aanrichtte. Wel wordt het scenario dat het om cybercriminelen gaat die geld willen verdienen steeds minder waarschijnlijk. Het 'betaaldeel' van het virus ziet er namelijk relatief amateuristisch uit.
Gevolg is dat slachtoffers van het virus nauwelijks betalen. En dat is wel de bedoeling van een zogenoemd gijzelvirus. Zo'n virus versleutelt bestanden of computers met als doel om mensen geld af te troggelen; ze moeten betalen om weer bij hun computer of bestanden te kunnen.
Schijntje
De nieuwe virusaanval - door onderzoekers zowel Petya als NotPetya genoemd - vertoont veel gelijkenissen met een gijzelvirus. Slechts 45 mensen hebben samen echter maar 10.000 dollar betaald; een schijntje, als je bedenkt dat wereldwijd vele duizenden computers zijn geïnfecteerd.
"Waarom zou je dit als crimineel doen?", vraagt onderzoeker Christiaan Beek van beveiligingsbedrijf McAfee zich af. "Je verdient er weinig mee, en je staat op de radar van alle inlichtingendiensten."
"Als dit een aanval van criminelen is, dan is hij niet zo slim opgezet", zegt ook Sico van der Meer van Instituut Clingendael. "Je zou denken dat ze de betaalmogelijkheid dan wel op orde hadden."
Veel schade in Oekraïne
Het nieuwe ransomware-virus richtte veel schade aan in Oekraïne, waar banken platlagen en mensen op sommige plekken niet elektronisch konden betalen. Ook bij de overheid waren computerproblemen. Het overgrote deel van de slachtoffers viel in Oekraïne, maar ook Nederland kwam er niet ongeschonden vanaf. De containerterminal APM in Rotterdam heeft een miljoenenschade.
Veel bedrijven die zijn getroffen, hebben een vestiging in Oekraïne. Mogelijk zijn ze vanuit het Oekraïense deel van hun computernetwerk besmet. Via hacks op een Oekraïens boekhoudpakket en een Oekraïense nieuwswebsite zijn veel bedrijven besmet.
Veel beveiligingsonderzoekers vermoeden dan ook dat de ransomware niet daadwerkelijk is bedoeld om geld te verdienen, maar om schade aan te richten. "Het virus lijkt bedoeld om zichzelf te verspreiden voordat het computers versleutelt", zegt onderzoeker Beek. "Op die manier kunnen ze zo veel mogelijk schade aanrichten." Terwijl het virus zich verder verspreidt, blijft de aanval namelijk onopgemerkt, totdat het virus zichzelf activeert.
Ronald Prins van het Delftse beveiligingsbedrijf Fox-IT wil niet zwart op wit zeggen dat het doel van het virus sabotage was. "Maar als de bedoeling van het virus was om in Oekraïne veel schade aan te richten, dan is dat gelukt", zegt Prins. "En als de bedoeling was om geld te verdienen, dan hebben de makers zitten prutsen."
Sporen wissen
Als er daadwerkelijk sprake is van sabotage, is de vraag: wie zit erachter? Daar durven beveiligingsonderzoekers zich niet over uit te spreken. Het is op internet notoir eenvoudig om je sporen te wissen, dus zelfs als die een bepaalde kant op wijzen, kan het in werkelijkheid weer anders zitten.
Duidelijk is wel dat bedrijven nu snel actie moeten ondernemen. Zij zijn met name kwetsbaar voor dit soort aanvallen, omdat ze grote netwerken hebben met veel gebruikers. Als een gebruiker op een verkeerd linkje klikt, kan dit soort virussen het hele bedrijf besmetten. "Er gaat echt nog wel een aanval komen", waarschuwt beveiligingsonderzoeker Victor Gevers.
Op dit moment zijn er nog 16.000 Nederlandse computers van buitenaf te hacken met het beveiligingslek dat door zowel dit virus als het Wannacry-virus uit mei werd misbruikt. "Dat waren er vanmorgen nog 17.000, dus we zien dat het langzaam verbetert", zegt Gevers, die bedrijven bijstaat bij het oplossen van de problemen. Het overgrote deel van de kwetsbare computers staat bij bedrijven.
Ook Prins van Fox-IT waarschuwt bedrijven. "Het gaat alleen nog maar erger worden", zegt hij. "Hackers gaan op zoek naar nog meer manieren om virussen te verspreiden." Als ze een leverancier van software zouden kunnen kraken, zouden ze nog meer schade kunnen aanrichten.