Is deze cyberaanval ‘the big one’?

Wereldwijde hack

Van Britse ziekenhuizen tot het Spaanse Telefónica en een Zweedse gemeente: allemaal zijn ze slachtoffer van gijzelingssoftware.

Waarschuwing aan Brits ziekenhuis om te betalen voor 15 mei. Foto AP.

Vrijdagmiddag kregen allerlei bedrijven en ziekenhuizen wereldwijd ineens een vreemde boodschap op hun Windows-computers te zien. „Oeps, uw bestanden zijn versleuteld! Foto’s, bestanden, databanken, en andere gegevens zijn onbereikbaar. U kunt de bestanden weer vrij krijgen, maar u heeft daarvoor niet zo genoeg tijd” (sic).

Getroffenen moeten 300 dollar aan bitcoin (ongeveer 275 euro) overmaken naar de daders om weer bij hun bestanden te komen. Als ze dat niet binnen drie dagen doen, verdubbelt het losgeld. Wachten de slachtoffers langer dan 7 dagen zijn ze volgens de aanvallers hun bestanden permanent kwijt.

Niet lang nadat deze boodschap op computerschermen verscheen sloegen overal overheidsorganisaties en cyberveiligheidsbedrijven alarm over een grote actie met gijzelingssoftware, met de naam WannaCry. Vele duizenden slachtoffers zijn er, in tientallen landen.

„De meltdown waar experts voor hebben gewaarschuwd, is er”, kopte technologiewebsite Wired meteen. Het Nationaal Cyber Security Centrum (NCSC) deed vrijdagavond een oproep uitgaan aan heel Nederland om extra alert te zijn. Daarbij zijn organisaties uit zogeheten vitale sectoren, zoals bijvoorbeeld ziekenhuizen en water-, gas-, en elektriciteitsvoorziening specifiek gewaarschuwd.

1. Wie zijn slachtoffers?

Het eerste grote alarm werd geslagen in het Verenigd Koninkrijk. Vrijdagmiddag werden daar veel computers van het ziekenhuissysteem NHS getroffen, waardoor veel belangrijke informatie voor ziekenhuizen onbereikbaar werd. Verschillende zorginstellingen in onder meer Londen en Nottingham moesten worden stilgelegd en patiënten werd volgens Britse media gevraagd weg te blijven. Er zouden geen gevoelige medische gegevens zijn ingezien door de hackers.

De Britse premier Theresa May belegde na het bekend worden hiervan een crisisberaad, waarop snel duidelijk werd dat Groot-Brittannië niet het enige slachtoffer was. Ook bedrijven in Spanje zijn getroffen, waaronder telecombedrijf Telefónica.

Een volledig overzicht ontbreekt nog maar cyberveiligheidsbedrijf Kaspersky telde via zijn virusscanners al zeker 45.000 aanvallen in 74 landen. Andere cyberveiligheidsbedrijven meldden ook vele duizenden aanvallen in onder meer de Verenigde Staten, China, Vietnam en Taiwan. Persbureau Reuters meldde vrijdag dat in Zweden een gemeente is getroffen.

In Nederland zijn vooralsnog geen meldingen geweest. Oprichter Ronald Prins van cyberveiligheidsbedrijf Fox-IT, marktleider in Nederland, zegt „geen klanten te hebben die zijn getroffen”.

2. Hoe kwamen de hackers binnen?

„Het ziet ernaar uit dat dat behoorlijk eenvoudig was,” volgens onderzoeksdirecteur Eward Driehuis van cyberveiligheidsbedrijf SecureLink. Dat zit zo. Een paar weken geleden lekte hackerscollectief ShadowBrokers een hele zwik aan kwetsbaarheden in Windows, die door potentiële aanvallers gebruikt konden worden. Microsoft, de uitbater van Windows, stuurde al voor het uitlekken een beveiligingsupdate uit. „Maar blijkbaar hebben veel organisaties die nog niet geïnstalleerd,” zegt hij.

De hackers hebben die kwetsbaarheden gebruikt om binnen te komen. Als één computer wordt geïnfecteerd, besmet die automatisch andere pc’s op dat netwerk. Zo kunnen de hackers dankzij één zwakke schakel bij grote hoeveelheden bestanden van de getroffen bedrijven komen.

3. Hoe uitzonderlijk is deze aanval?

Gijzelingssoftware is een bekend probleem waarvoor deskundigen al veel langer waarschuwen. Eerder werden ook bestanden van Nederlandse gemeentes en de Tweede Kamer gegijzeld. Aanvallen met gijzelingssoftware zijn, net als veel andere cybercriminaliteit ook wel vaker grensoverschrijdend. Omdat de totale schaal nu nog niet duidelijk is, is lastig vast te stellen of dit daadwerkelijk de „big one” is waarover veel internationale media het hebben.

Extra problematisch bij het wegen van cyberaanvallen is dat veiligheidsbedrijven financieel belang hebben bij het opkloppen van de ernst. Meer angst voor aanvallen is meer business voor hen.

Maar ook het onafhankelijke Nationaal Cyber Security Centrum van de Nederlandse overheid heeft het in een persbericht over een ‘grote internationale ransomware-aanval’. Volgens oprichter Ronald Prins van veiligheidsbedrijf Fox-IT is de aanval in elk geval zeer professioneel voorbereid. De aanval vond plaats in veel verschillende taalgebieden. Dat betekent dat de besmette e-mails ook in meerdere talen moeten zijn opgesteld. „Dit zijn in elk geval geen twee gasten op een zolderkamer,” zegt Prins. Wie dan wel, is nog onbekend.

4. Wat is hiertegen te doen?

Als één ding duidelijk is geworden bij deze aanval, is het wel hoe belangrijk het is om beveiligingsupdates van computersystemen niet te negeren. Microsoft heeft weken geleden de update verstuurd waarmee de ellende te voorkomen was. Maar om te werken moet die echt eerst worden geïnstalleerd door de gebruikers zelf.