Wereldwijde aanval met ransomware treft ook deel Rotterdamse haven en TNT

Het werk op de Maasvlakte ligt sinds dinsdagmiddag gedeeltelijk stil. Ook Oekraïne werd hard getroffen door een cyberaanval.

Containerschip Madrid Maersk van de Deense rederij Maersk Line komt aan in de Rotterdamse haven. Foto Marco de Swart/ANP

Dinsdag zijn wereldwijd bedrijven en instellingen getroffen door een aanval met ransomware, ook wel gijzelsoftware genoemd. Containeroverslagbedrijf APM Terminals, dat onder meer in de haven van Rotterdam actief is, was een van de eerste bedrijven die melding maakten van een IT-storing.

Volgens cyberveiligheidsbedrijf Fox-IT zijn meer Nederlandse bedrijven getroffen door de cyberaanval, genaamd ‘Petya’. Volgens de Russische antivirusreus Kaspersky Lab gaat het echter niet om een nieuwe variant van dit oude virus. In Nederland zijn onder de slachtoffers pakketbezorger TNT en medicijnfabrikant MSD, die fabrieken heeft in andere landen. In het buitenland gaat het onder meer om banken en overheidsinstanties in Oekraïne en Rusland.

APM en Maersk

APM en moederbedrijf Maersk melden alleen dat er IT-problemen zijn. Tegenover AP laat Maersk-woordvoerder Anders Rosendahl weten dat alle geledingen binnen het Deense bedrijf, zowel in Denemarken als daarbuiten, slachtoffer zijn van een “cyberaanval”.

Lees ook: Volg hier de ontwikkelingen rond de wereldwijde ransomware-aanval

Medewerkers van APM hebben tegenover RTV Rijnmond verklaard dat het werk op de Maasvlakte sinds 13.20 uur stilligt als gevolg van de aanval. In totaal zouden zeventien containerterminals van APM in Rotterdam en andere delen van de wereld zijn aangevallen. Een woordvoerder van het Havenbedrijf Rotterdam laat weten dat APM om één van de drie grote terminal-operators is. Het gaat om een kwart van de totale Rotterdamse containercapaciteit.

Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Veiligheid en Justitie, zegt de ontwikkelingen in de gaten te houden.

‘Link met ransomware-aanval Oekraïne’

Dinsdag werden ook Oekraïense banken, overheidsbedrijven, het elektriciteitsnet en de luchthaven in Kiev getroffen door een aanval met ransomware, net als de Russische oliegigant Rosneft en enkele bedrijven in onder meer het Verenigd Koninkrijk, India, Frankrijk, Duitsland en de Verenigde Staten.

De Oekraïense vice-premier Pavlo Rozenko maakte via Twitter melding van problemen aan het IT-systeem van de regering:

Twitter avatar RozenkoPavlo Rozenko Pavlo Та-дам! Секретаріат КМУ по ходу теж “обвалили”. Мережа лежить. https://t.co/B74jMsT0qs

Het is de vraag of de hack in de Rotterdamse haven is gelinkt aan de cyberaanval in Oekraïne en andere plaatsen. De beelden die circuleren van de verschillende hacks wereldwijd wijzen daar wel op.

Mikko Hyppönen, de onderzoeksdirecteur van de Finse internetbeveiliger F-Secure, merkt op dat de ransomware hetzelde bitcoinadres - een soort rekeningnummer - gebruikt voor alle slachtoffers. Inmiddels zouden meerdere slachtoffers het ‘losgeld’ van 300 dollar hebben betaald:

Twitter avatar mikko Mikko Hypponen Latest Petya uses the same Bitcoin address for all victims; it has received 7 payments today, each of them ~ $300. https://t.co/vlJHGsbLmn

‘Variant op WannaCry-virus’

Ook volgens Dave Maasland, directeur bij het cybersecuritybedrijf ESET, lijkt het erop dat er een verband bestaat tussen de hack in Oekraïne en die bij APM Terminals. Maasland stelt dat de gebruikte ransomware lijkt op het WannaCry-virus, waarbij computers besmet kunnen raken zonder dat daar menselijk handelen - zoals het openen van een e-mail - voor nodig is. Dit wordt bevestigd door Fox-IT:

Twitter avatar foxit Fox-IT Fox-IT CRO Erik de Jong; ‘The new ransomware attack is based on the same NSA exploit as the Wanacry attack and the impact seems bigger’

Volgens Fox-IT maakt de nieuwe ransomware gebruik van de EternalBlue-exploit - de kwetsbaarheid in de beveiliging van Windows waar eerder WannaCry gebruik van maakte. Het is nog niet duidelijk of de hackers achter WannaCry ook verantwoordelijk zijn voor de nieuwe aanval met ransomware. Wel is het volgens Fox-IT zeker dat er meer manieren zijn waarop de nieuwe virus kan worden verspreid:

Twitter avatar foxit Fox-IT New Petya ransomware has more spreading mechanisms than Wanacry.

Deze lezing wordt onderschreven door Mikko Hyppönen van F-Secure:

Twitter avatar mikko Mikko Hypponen Petya uses the NSA Eternalblue exploit but also spreads in internal networks with WMIC and PSEXEC. That’s why patched systems can get hit.

WannaCry

WannaCry, de grootste ransomware-aanval in de geschiedenis, wist in mei binnen enkele dagen binnen te dringen op tweehonderdduizend computers in 150 landen. De malware maakte gebruik van een lek in de beveiliging van Windows. Dat lek werd heimelijk gebruikt door de Amerikaanse geheime dienst NSA, maar was online geplaatst door een groep hackers.

Een dergelijke vorm van ransomware kan zich snel verspreiden, ook omdat veel bedrijven niet goed zijn voorbereid op een aanval, zegt Maasland. Zo worden bedrijfsonderdelen digitaal niet goed gescheiden en “duurt het veel te lang voordat updates worden gemaakt”. Daarnaast ontbreekt het bij bedrijven vaak aan een “digitaal ontruimingsplan” in het geval van een cyberaanval.