Cyberaanval-blog

Ook tweede terminal APM in Rotterdam deels open

Automatische verversing

Vrachtwagens weer welkom bij tweede terminal APM

Nadat het vrijdag al de eerste containerterminal opende voor vrachtwagens, opende overslagbedrijf APM in de Rotterdamse haven zondag ook de tweede terminal. Het laden en lossen ligt nog stil in de tweede terminal, gelegen op Maasvlakte II, maar vrachtwagens kunnen wel gearriveerde containers ophalen, meldt het bedrijf.

APM werd dinsdag, net als andere terminals in onder meer de Verenigde Staten, Spanje, India en Peru, getroffen door een internationale cyberaanval genaamd Petya. Het bedrijf moest daarom de werkzaamheden stilleggen. Onder de Nederlandse slachtoffers was ook TNT Express.

APM heeft twee terminals in de Rotterdamse haven. De terminal die vrijdag weer openging ligt op Maasvlakte I. Daar kunnen vrachtwagens zowel lading afleveren als ophalen. APM streeft ernaar de komende dagen ook andere activiteiten weer op te starten.

Eén terminal APM in Rotterdam weer open

Containerbedrijf APM heeft naar eigen zeggen een van de twee terminals in de Rotterdamse haven weer geopend. Wel is de volledig geautomatiseerde terminal op de Tweede Maasvlakte nog gesloten.

De geopende terminal op de Maasvlakte is wel beperkt bruikbaar. Alleen het aanleveren van producten voor export per vrachtwagen is daar mogelijk.
APM was onder de bedrijven die dinsdag getroffen werden door de cyberaanval met de Petya. Sindsdien zitten onder meer de Rotterdamse terminals op slot. De problemen reikten veel verder, gaf een woordvoerder vrijdag aan. Ook de mailserver was bijvoorbeeld getroffen, waardoor de werknemers creatief moesten zijn voor de communicatie. Onder meer Whatsapp en privémailadressen brachten soelaas.

De schade die APM lijdt door de aanval is onduidelijk. "We zijn zo druk bezig met het oplossen van de problemen, dat we er nog niet aan toe zijn gekomen om dat te berekenen", verklaarde de woordvoerder van APM.

Containerterminals APM voor vierde dag dicht

De twee containerterminals van APM in de Rotterdamse haven blijven vrijdag opnieuw dicht. Dat heeft het containerbedrijf vrijdagochtend laten weten. Wanneer APM de terminals weer operationeel heeft, is nog niet duidelijk.

APM was bij de bedrijven die dinsdag getroffen werden door de cyberaanval. Sindsdien zitten onder meer de Rotterdamse terminals op slot.

Moederbedrijf Maersk liet donderdagavond weten dat de situatie bij APM blijft verbeteren en dat er hard wordt gewerkt aan een oplossing. De schade die APM lijdt door de aanval is onduidelijk. De kosten lopen in de miljoenen.

Site politie weer volledig beschikbaar

De maatregelen die de politie op haar website had genomen uit voorzorg tegen de wereldwijde gijzelsoftware-aanval van dinsdag, zijn opgeheven. Een aantal functies van de site waren tijdelijk uitgezet. Zo nam de politie geen formulieren meer in behandeling die online waren ingevuld. Maar sinds donderdag werkt alles weer naar behoren. De politiesystemen zijn niet getroffen door de cyberaanval.

Woensdag kampte de politie met een grote internetstoring. Verscheidene systemen van de politie lagen eruit, waaronder de mobiele app op de politiemobieltjes waarmee agenten bekeuringen uitschrijven en persoonsgegevens kunnen controleren. Volgens de politie had het te maken met een interne oorzaak. Tegen de avond deden de systemen het grotendeels weer.

Oekraïense regering ontkent tweede cyberaanval

De Oekraïense overheid ontkent berichten dat de regering zou zijn getroffen door een tweede cyberaanval. Donderdagmiddag meldde een medewerker van de IT-afdeling van het Oekraïense kabinet via Facebook dat de computers opnieuw waren geblokkeerd.

“Hacker aanval nummer 2”, zo schreef Ivan Berdetski, IT-specialist van de Raad voor Ondernemers van het kabinet, op zijn Facebookpagina. Het bericht werd door verschillende media overgenomen.

Screenshot van de Facebook-post.

Enkele uren later kwam het Oekraïense kabinet met een verklaring dat er geen sprake was van een nieuwe cyberaanval. Volgens de persdienst was er sprake van technisch onderhoud.

'Ook Gazprom getroffen door cyberaanval'

Ook Gazprom is getroffen door de wereldwijde cyberaanval. Dat schrijft Reuters woensdag op basis van twee anonieme bronnen. Het is onduidelijk hoeveel computers van het grote Russische aardgasbedrijf geïnfecteerd zijn geraakt met het virus. Ook is niet bekend of het bedrijf door de aanval schade heeft opgelopen.

Gazprom weigerde te reageren op het nieuws. Eerder werd al bekend dat Rosneft en Bashneft, twee grote oliemaatschappijen, zijn getroffen door het virus. Verder raakten computers van de Russische staalproducent Evraz geïnfecteerd.

Oekraïne werd het hardst getroffen door het virus. Kort na de aanval beschuldigden politici in Kiev Rusland ervan achter de cyberaanval te zitten. Volgens Moskou is het feit dat Russische bedrijven ook getroffen zijn bewijs dat het Kremlin onschuldig is.

Wie zit er achter?

Komt het cybervirus dat dinsdag om zich heen sloeg uit de koker van het Kremlin of gelieerde hackgroepen? Dat is de vraag waar analisten het antwoord vooralsnog schuldig op moeten blijven en die misschien wel nooit beantwoord zal worden. Dat Oekraïne zo hard is getroffen, leidt tot veel veel speculatie. Aanwijzingen zijn er zeker. Het virus zou onder andere via het populaire boekhoudsysteem M.E.Doc computers in het hele land zijn binnengedrongen via een automatische fake-update. Volgens het doorgaans goed geïnformeerde Oekraïense twitteraccount @Liveuamap zou het spoor verder leiden naar de Krim.

ESET: Nederland in top-5 door ransomware getroffen landen

Oekraïne werd van alle landen verreweg het hardst werk getroffen door de gijzelsoftware-aanval. Nederland staat wereldwijd op plek vier. Dat blijkt uit cijfers van het Slowaakse softwarebeveilingsbedrijf ESET.

Nederland neemt 0,41 procent van de duizenden besmettingen wereldwijd voor zijn rekening. In Oekraïne vonden liefst 91 procent van de besmettingen plaats. Ook Rusland (1,7 procent), Griekenland (0,53 procent) en Duitsland (0,53 procent) staan hoog op het lijstje:

Volgens de directeur van ESET Nederland, Dave Maasland, heeft de cyberaanval van woensdag nog maar eens duidelijk gemaakt dat cybercrime een internationaal probleem is:

"De schade van deze cyberaanval is enorm, omdat bedrijven wereldwijd met elkaar verbonden zijn. Petya vormt het bewijs dat een cyberaanval op een willekeurig land ook een zeer negatieve impact op Nederland heeft. Zeker bij ransomware die zichzelf verspreidt."

Volgens ESET loopt de financiële schade voor Nederlandse bedrijven door de gijzelsoftware-aanval "in de miljoenen euro's".

Oekraïne heeft situatie "volledig onder controle"

Oekraïne heeft de situatie onder controle nadat het land dinsdag ernstig werd geraakt door de cyberaanval. Dat heeft het kabinet woensdag laten weten, aldus persbureau AP. In een verklaring heeft het kabinet gezegd de situatie "volledig onder controle" te hebben.

In een andere verklaring laten de Oekraïense spoorwegen weten dat er problemen zijn geweest met het betalingsverkeer maar dat het treinverkeer niet is beïnvloedt. Oekraïne was verreweg het grootste slaciteroffer van de cyberaanval.

Dit lijkt geen gewone gijzelsoftware

De schade is zó groot en de opbrengst zó gering, dat politieke motieven volgens veel onderzoekers voor de hand liggen. Vier vragen.

Kremlin roept op tot internationale samenwerking

Het Kremlin heeft woensdagmiddag opgeroepen tot internationale samenwerking na de cyberaanval van dinsdag. Een woordvoerder zei volgens persbureau Reuters:

"Deze aanvallen onderstrepen de noodzaak voor een internationaal gecoördineerde aanpak tegen cybercriminaliteit. Geen land kan cybercriminaliteit alleen effectief aanpakken."

De woordvoerder benadrukte dat de aanval geen serieuze problemen had veroorzaakt en dat het Kremlin niet op de hoogte was van de oorsprong van de aanval. In Rusland werden relatief veel computers geraakt door de aanval. Eerder werd al bekend dat het staatsoliebedrijf Rosneft slachtoffer was geworden.

Polen

De Poolse minister van Binnenlandse Zaken Mariusz Blaszczak zei tijdens een persconferentie dat er "een paar" meldingen waren van slachtoffers van de cyberaanval in het land. Hij heeft niet gezegd om welke bedrijven het gaat. Volgens premier Beata Szydlo zijn er geen meldingen dat overheidsinstanties zijn geraakt.

Rotterdamse containerterminal heeft nog steeds problemen

De Rotterdamse containerterminal APM heeft nog steeds problemen na de cyberaanval van dinsdag. De website van het bedrijf werkt niet en de terminals in de havens blijven woensdagochtend gesloten. Volgens RTV Rijnmond werd een deel van de avondploeg dinsdag nog naar huis gestuurd.

APM Terminals is een dochteronderneming van de Deense multinational AP Møller-Maersk die woensdagochtend liet weten hard te werken aan een oplossing.

Twitter avatar Maersk Maersk Cyber attack update 09:06 CEST https://t.co/kInQZz4Wyv

Volgens persbureau ANP ervaart ook pakketbezorger TNT nog steeds problemen na de aanval.

Frankrijk

Ook in Frankrijk zijn verschillende bedrijven geraakt door de aanval. Zo liet de Franse bank BNP Paribas woensdagochtend weten dat de afdeling onroerend goed slachtoffer is geworden. In een verklaring liet de bank aan persbureau Reuters weten:

"De internationale cyberaanval heeft onze onroerend goed afdeling geraakt. Wij hebben de noodzakelijke maatregelen genomen om de aanval snel te stoppen."

De Franse supermarktketen Auchan liet weten dat het betaalsysteem in de vestigingen in Oekraïne is geraakt. Als gevolg werkten de betaalstations in de winkels dinsdag niet. Inmiddels functioneert alles weer naar behoren, aldus Auchan. Oekraïne is verreweg het grootste slachtoffer van de aanval.

Ook de Franse fabrikant van glas en bouwmaterialen Saint-Gobain laat aan persbureau Reuters weten dat de productie na de aanval langzaam weer op gang komt. Volgens het bedrijf zijn er geen gevolgen voor de afnemers van het bedrijf.

Voor het eerst Australisch bedrijf getroffen

Voor het eerst is ook een Australisch bedrijf getroffen door een wereldwijde cyberaanval. Volgens een vakbondswoordvoerder vielen de computersystemen van een chocoladefabriek van Cadbury op het eiland Tasmanië stil op het moment dat wereldwijd honderdduizenden computers werden aangevallen. Medewerkers van de fabriek wisten in eerste instantie niet wat er mis was, maar trokken hun conclusies toen ze het nieuws hoorden. Bij de vorige aanval van WannaCry bleven Australische bedrijven buiten schot.

Politie sluit deel website af

Sommige delen van de website van de Nederlandse politie zijn uit voorzorg tegen mogelijke cyberaanvallen tijdelijk niet of niet volledig beschikbaar. De politie meldt dat sommige formulieren die worden ingevuld en verstuurd, mogelijk veel later - of helemaal niet - aankomen. In een verklaring op de site:

"Wij bieden daarvoor onze excuses aan en zullen er hier over berichten als de maatregelen kunnen worden ingetrokken."

Hoe de aanvallen dinsdag verdeeld zijn over de wereld

Het Slowaakse softwarebeveilingsbedrijf ESET heeft een overzicht gemaakt van de landen die het meest getroffen zijn dinsdag. Oekraïne is verreweg het grootste slachtoffer. Daar lijkt de aanval ook begonnen te zijn met het kraken door de hackers van accountingssoftware M.E.Doc, dat in verschillende Oekraïense industrieën gebruikt wordt.

Enkele van de bedrijven en instanties die getroffen zijn

Bedrijven, instellingen en personen over de hele wereld zijn getroffen door de gijzelsoftware-aanval. Enkele van de slachtoffers:

  • Oekraïense banken, energie- en postbedrijven, vliegvelden en overheidsinstellingen. Alle computers van het kabinet zijn geïnfecteerd. De Oekraïense nationale Bank meldde problemen met betalingsverkeer. Ook bewakingssystemen van de ontplofte kerncentrale in Tsjernobyl zijn getroffen, waardoor die gedwongen was over te schakelen op handmatige bediening.
  • APM Maersk, de Deense containergigant. Twee containerterminals in de haven van Rotterdam lagen daardoor plat.
  • Het Britse WPP, het grootste reclamebureau ter wereld.
  • Saint-Gobain, de Franse producent van glas en andere bouwmaterialen. In Nederland actief onder de naam Raab Karcher.
  • Mondelez, de Amerikaanse snoep- en koekjesproduct. Bekend van Oreo, LU en Milka.
  • Postbezorger TNT Express.
  • Evraz, het Russische staalbedrijf.
  • Rosneft, het Russische staatsoliebedrijf.
  • Medicijnfabrikant MSD.
  • DLA Piper, wereldwijd actief advocatenbureau, gevestigd in de VS.
  • Heritage Valley Health System: ziekenhuis- en gezondheidszorgsysteem in de buurt van de Amerikaanse staat Pennsylvania.

Slachtoffers die hackers betalen mogelijk nog steeds de dupe

De Duitse e-mailprovider Posteo heeft het e-mailaccount afgesloten dat gebruikt werd door een van de hackers achter de gijzelsoftware. Dat betekent dat slachtoffers van de aanval die de 300 dollar betalen om de gijzeling van hun computer ongedaan te maken, mogelijk alsnog met lege handen staan.

De slachtoffers wordt namelijk gevraagd een bevestiging van de betaling te sturen aan het nu door Posteo geblokkeerde e-mailadres. "We tolereren geen enkel misbruik van ons platform", schrijft Posteo op zijn website ter verklaring van de actie. Wie het losgeld wil betalen om zijn computer vrij te krijgen, heeft nu geen mogelijkheid meer de aanvallers te contacteren.

Cyber Security Centrum waarschuwt voor ‘grote economische impact’ cyberaanval

De aanval van dinsdag roept sterke herinneringen op aan een aanval met gijzelsoftware WannaCry, in mei dit jaar, schrijft NRC-redacteur Wouter van Noort. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt inmiddels voor een "grote economische impact", mocht het virus nog lang aanhouden. Veel cyberdeskundigen zijn het nog niet eens over de exacte werking en herkomst van de gijzelsoftware die bedrijven, overheden en personen terroriseert.

Veel instanties van de Oekraïense overheid zijn ook slachtoffer van de software. Op Twitter reageren ze daar op deze manier op:

Some of our gov agencies, private firms were hit by a virus. No need to panic, we’re putting utmost efforts to tackle the issue 👌 pic.twitter.com/RsDnwZD5Oj

— Ukraine / Україна (@Ukraine) June 27, 2017

Nieuwe gijzelsoftware levert meer op dan WannaCry

Het lijkt er op dat de nieuwe gijzelsoftware in de eerste uren meer geld heeft opgeleverd dan WannaCry. Sinds de eerste storting, nu ruim vijf uur geleden, is voor zover bekend aan de nieuwe gijzelsoftware 2.91641468 bitcoins overgemaakt, omgerekend ruim 6.000 euro. Op de drie bitcoinrekeningen van WannaCry werd in diezelfde periode nog geen 4.000 euro gestort, blijkt uit een analyse van NRC-datajournalist Rik Wassens:

"Vooralsnog is er één Bitcoin-adres bekend waar het losgeld gestort kan worden. Rond drie uur Nederlandse tijd kwamen daar de eerste transacties op binnen. 5 uur en een kwartier later staat de teller inmiddels na 25 transacties op 2.91 Bitcoin: iets meer dan 6.000 euro. Ter vergelijking: WannaCry had drie Bitcoin-adressen. Op deze drie adressen kwam in dezelfde tijd ca. 1.86 Bitcoin binnen in 12 transacties. De nieuwe gijzelaanval lijkt deze eerste uren lucratiever dan WannaCry. WannaCry eindigde uiteindelijk op bijna 52 Bitcoin: grofweg 130.000 dollar."

Het is niet duidelijk of de nieuwe gijzelsoftware de beschikking heeft over meer bitcoinaccounts. Het Twitteraccount hieronder volgt de bitcoinbetalingen aan de hackers onder de naam Petya Payments. Maar, zoals beneden uitgelegd, er is discussie of deze nieuwe gijzelsoftware een nieuwe veriant is van het oude Petya-virus, of een nieuw soort malware.

Zo werkt het nieuwe virus

Volgens het Slowaakse cybersecuritybedrijf ESET maakt de nieuwe gijzelsoftware net als eerder WannaCry gebruik van dezelfde kwetsbaarheid in de software van Microsoft. Op die manier werden computers versleuteld en alleen tegen de betaling van losgeld werd weer toegang verschaft.

Wat de nieuwe gijzelsoftware bijzonder maakt, zo meldt ESET, is dat het virus op het moment dat het binnen is, op zoek gaat naar een admin-wachtwoord. Dit beheerderswachtwoord wordt vervolgens uitgeprobeerd op het hele netwerk binnen een bedrijf. ESET noemt dit een "uiterst effectieve methode" die veel impact kan hebben op grote, slechtbeveiligde bedrijven.

Petya of NotPetya?

Het is nog niet zeker of het gaat om een nieuwe variant van het oude Petya-virus, of om een geheel nieuw virus. Volgens het Nederlandse cyberveiligheidsbedrijf Fox-IT gaat het om een Petya-variant:

Twitter avatar foxit Fox-IT Fox-IT CRO Erik de Jong; 'The new ransomware attack is based on the same NSA exploit as the Wanacry attack and the impact seems bigger'

Deze stelling wordt onderschreven door onder meer het Slowaakse cybersecuritybedrijf ESET en de Finse internetbeveiliger F-Secured. De Russische antivirusreus Kaspersky Lab meldt echter dat het gaat om een geheel nieuw virus en spreekt daarom van NotPetya:

Twitter avatar lizalonkhuyzen Liza van Lonkhuyzen Kaspersky noemt de ransomware voorlopig 'NotPetya'. Er zijn naast in Rusland en Oekraïne pc's in o.a. Polen, Italië, FR en de VS getroffen
Twitter avatar lizalonkhuyzen Liza van Lonkhuyzen Kaspersky: "Our preliminary findings suggest that it is not a variant of Petya ransomware as publically reported, but a new ransomware"

Volgens Kaspersky Lab zijn inmiddels zo'n tweeduizend gebruikers geïnfecteerd. Organisaties en Rusland en Oekraïne zijn het hardst getroffen. Ook in Nederland, Polen, Italië, het Verenigd Koninkrijk, Duitsland, Frankrijk, de Verenigde Staten en enkele andere landen zijn bedrijven en instellingen het slachtoffer.

Welkom...

in het blog over de wereldwijde gijzelsoftware-aanval. Volg hier welke impact het virus heeft, welke landen en bedrijven en slachtoffer zijn en om wat voor soort cyberaanval het gaat.