De angel lijkt eruit: 'verspreiding gijzelsoftware gestopt'
De verspreiding van gijzelsoftware op computers wereldwijd is stilgelegd, zegt beveiligingsexpert Ronald Prins van beveiligingsbedrijf Fox-IT. Een cybersecurity-onderzoeker heeft volgens hem een manier gevonden om te voorkomen dat nog meer computers geïnfecteerd raken met de software.
"De wereld is zo'n beetje gered", zegt Prins in het NOS Radio 1 Journaal. "De onderzoeker ontdekte dat het virus een ingebouwde kill switch heeft, waarmee het zichzelf uit kan zetten."
Het Nationaal Cyber Security Centrum (NCSC) ziet op basis van verschillende bronnen ook dat de verspreiding van de gijzelsoftware is afgenomen, maar gaat niet zover om te zeggen dat het voorbij is.
Back-up of betalen
Door deze mogelijkheid te activeren, is de verdere verspreiding gestopt. Maar er is nog geen oplossing voor computers die al gegijzeld zijn.
"Dan kun je weinig meer doen", zegt NOS-techredacteur Tim van Steenbergen. "Je kunt alleen nog je computer wissen en je bestanden terughalen via een back-up. Heb je geen back-up, dan zul je moeten betalen, anders ben je je bestanden kwijt."
Het is opvallend dat de software een knop had om verspreiding te stoppen. "Dat criminelen die erin zetten, zie je niet zo vaak. Statelijke actoren gebruiken dit soort cyberwapens vaker. Want zij willen bij een aanval niet meer schade veroorzaken dan nodig."
De oplossing was vrij snel gevonden. Een paar uur nadat het virus voor het eerst was opgedoken, vond de Britse onderzoeker de mogelijkheid die verstopt zat in de code van de software. "Eigenlijk hoefde hij alleen maar een domeinnaam te registreren. Op het moment dat de domeinnaam bestond, stopte de verspreiding van het virus", zegt Prins.
Op Twitter zegt de onderzoeker dat hij per ongeluk op de oplossing stuitte. Hij was er niet van op de hoogte dat de malware zou stoppen na het registreren van de domeinnaam.
De ransomware maakt gebruik van zwakke plekken in besturingssysteem Windows. Die zijn door Microsoft opgelost met een update. De software-fabrikant zegt dat mensen met de laatste versie van het systeem en een antivirusprogramma beschermd zijn tegen de aanval.
Copy cats
Bedrijven en particulieren halen misschien opgelucht adem omdat niet nog meer systemen getroffen kunnen worden door de gijzelsoftware, maar Prins denkt niet dat het gevaar is geweken. Het lijkt een kwestie van tijd tot er andere cybercriminelen zijn die dezelfde achterdeurtechnologie gebruiken, zegt Prins.
"Bij succesvolle nieuwe criminele campagnes zie je vaak dat er copycats zijn. Criminelen die zien dat het trucje goed werkt en het ook razendsnel implementeren."
De ransomware dook overal ter wereld op: van grote telecom- en elektriciteitsbedrijven in Spanje en Azië tot het Russische ministerie van Binnenlandse Zaken.
In Rusland werd ook de grootste spaarbank van het land getroffen, zegt correspondent Geert Groot Koerkamp. "Er waren geldautomaten waarop de meldingen van de ransomware ook verschenen." In Groot-Brittannië werden verschillende ziekenhuizen stilgelegd nadat ze getroffen waren.
Op sociale media zijn foto's te zien van informatieborden van het metronetwerk van Frankfurt die duidelijk maken dat ook dat computersysteem getroffen is.
Het NCSC waarschuwde gisteren voor de "internationale ransomware-campagne". Zij roepen mensen op om extra voorzichtig te zijn met het openen van e-mail van afzenders die zij niet vertrouwen.
Na de waarschuwing van het NCSC nam de Nederlandse politie preventieve maatregelen. Het was vannacht tot half vijf niet mogelijk om via de website van de politie contact te zoeken of zaken te melden via mailformulieren.