Dit lijkt geen gewone gijzelsoftware

Cyberaanval

De schade is zó groot en de opbrengst zó gering, dat politieke motieven volgens veel onderzoekers voor de hand liggen. Vier vragen.

Vrachtvliegtuigen van TNT op het vliegveld van Luik. De pakketbezorger is ook getroffen door de gijzelsoftware. Foto Jasper Juinen/Bloomberg

1. Wat is het motief?

Gijzelsoftware wordt vaak gebruikt door criminelen om geld te verdienen. Maar is dat nu ook zo? Daarover zijn veel twijfels. Allereerst is de opbrengst zeer gering: tot nu toe slechts enkele duizenden euro’s. Het virus is zeer geavanceerd in zijn verspreiding, maar de methode om daadwerkelijk geld op te strijken is dat niet.

De aanval zou ook puur ontregeling tot doel kunnen hebben, suggereren diverse onderzoekers. Dergelijke sabotage-aanvallen zijn al vaker voorgekomen, al waren die dan wel gericht op specifiekere doelen, zoals een Iraanse kerncentrale of de Saoedische energiereus Saudi Aramco. Dit is veel meer een schot hagel.

Omdat bij deze nieuwe aanval vooral Oekraïne hard is getroffen, wijzen veel onderzoekers naar Rusland. Maar bij hacks is het moeilijk om ze terug te leiden tot daders. Het gebeurt vaak dat nep-sporen worden achtergelaten. Ook Russische bedrijven zijn getroffen, onder meer energiegigant Rosneft.

2. Wie zijn de slachtoffers?

In Nederland was de aanval dinsdag het meest zichtbaar op de Tweede Maasvlakte in Rotterdam bij containerterminal APM. Waar het normaal gesproken een enorme drukte is met het laden en lossen van containerschepen, stond de hele terminal stil. Meerdere schepen moesten met hun lading voor de havenmonding blijven liggen, met waarschijnlijk grote kosten tot gevolg. APM reageerde woensdagochtend niet op vragen van NRC, wel berichtten diverse media dat de terminal nog steeds dicht was.

Volg hier de ontwikkelingen rond de wereldwijde ransomware-aanval

Pakketbezorger TNT bevestigt dat het getroffen is, „net als veel andere bedrijven en instituties wereldwijd,” aldus een woordvoerder, die geen details wil geven. Er is een noodplan in werking, en de werkzaamheden worden met „enkele beperkingen” zoveel mogelijk hervat. Verder zijn wereldwijd multinationals getroffen, waaronder voedingsreus Mondelez, advocatenkantoor DLA Piper, en advertentiebedrijf WPP. Het Nationaal Cyber Security Center had woensdagochtend volgens een woordvoerder geen nieuwe Nederlandse meldingen gekregen.

3. Hoe verspreidt het zich zo snel?

Een maand geleden verspreidde het virus WannaCry zich binnen enkele dagen over honderdduizenden computers in minstens 150 landen. Ransomware-aanvallen zijn niks nieuws, maar deze had een belangrijk wapen. Namelijk een techniek om bij Windows in te breken – bijnaam EternalBlue – vermoedelijk gemaakt door de Amerikaanse geheime dienst NSA en online gezet door een hackerscollectief.

Het nieuwe virus gebruikt ook EternalBlue, maar die zwakke plek was een stuk minder cruciaal bij de verspreiding van dit virus. Juist de manier waarop bedrijven updates doorvoeren, werd misbruikt. Programma’s werden gebruikt om in één keer alle Windowscomputers in een bedrijf te infecteren. „Het rottige aan dit virus is dat het niet alleen de bestanden versleutelt, maar ook het opstartmechanisme van de computer sloopt”, zegt Jornt van de Wiel van beveiligingsbedrijf Kaspersky Lab. „Daardoor moeten pc’s helemaal opnieuw worden geïnstalleerd.”

4. Wat is er tegen te doen?

Het belangrijkste advies: installeer de beschikbare software-updates, zeker voor Windows. Online geven beveiligingsbedrijven daarnaast technische tips over bedrijven hun computers zo kunnen configureren, dat ransomware zo min mogelijk kans van slagen heeft. Verder is het belangrijk om altijd back ups te maken van belangrijke bestanden. Tot slot is altijd voorzichtigheid geboden met het klikken op links in e-mails of met bestanden in bijlagen. Dit is een veelgebruikte truc van aanvallers om ransomware op computers te krijgen.