Ook Nederlandse bedrijven zijn de afgelopen maanden getroffen door de gijzelsoftware SamSam. Het gaat waarschijnlijk om tientallen ondernemingen, zegt beveiligingsbedrijf Fox-IT.
Een precies aantal kan de cyberbeveiliger niet noemen, want het is onbekend hoeveel bedrijven losgeld hebben betaald en hoeveel bedrijven het zelf hebben opgelost. Waarschijnlijk is het nog maar een topje van de ijsberg.
Bitcoins
SamSam werkt heel geraffineerd. Het maakt gebruik van een configuratiefout binnen de IT van een bedrijf. Als de server direct aan het internet hangt en het wachtwoord zwak is komen ze betrekkelijk eenvoudig binnen.
Vervolgens duiken de hackers dieper de systemen in en gaan ze stilletjes op zoek naar meer administratierechten. "Ze leren het bedrijf zo kennen. Kijken naar de naam en googlen het", zegt Frank Groenewegen van Fox-IT. "Ze weten wat voor mensen er werken en bepalen aan de hand van al die kennis hoeveel losgeld ze kunnen eisen. Wat er haalbaar is."
Dat varieert dan van enkele tienduizenden euro's tot enkele tonnen, blijkt uit berichtgeving van het ANP over de zaak. Het losgeld moet in bitcoins betaald worden.
De hackers maken gebruik van het veelgebruikte RDP, het zogenoemde remote desktop protocol, waarmee je als systeembeheerder of medewerker vanuit huis in de systemen van de organisatie kan.
Niet op orde
SamSam is wereldwijd al anderhalf jaar actief en lijkt vooral scholen, ziekenhuizen en universiteiten te treffen. Amerikaanse onderzoekers wijzen naar Iran. Een Amerikaanse aanklager heeft afgelopen week twee Iraniƫrs in staat van beschuldiging gesteld..
Bekende gevallen uit het verleden zijn een ziekenhuis in Los Angeles en de gemeente Atlanta in de VS. Het is niet zo dat SamSam zich specifiek richt op publieke voorzieningen, zegt Groenewegen. "In Nederland is het juist andersom. De meeste overheidsorganisaties hebben de servers niet direct aan internet gekoppeld. De makers van SamSam zijn op zoek naar bedrijven die de zaakjes niet op orde hebben."