‘Petya-aanvallers al maanden in systemen’

De malware werd verspreid via een boekhoudprogramma dat noodzakelijk is voor zaken met de Oekraïense belastingdienst.

Kassa's in een Oekraïense supermarkt zijn door het virus buiten werking. Foto Mikhail Golub/Reuters

De cyberaanvallers die de Petya-malware hebben verspreid, hebben waarschijnlijk maandenlang toegang gehad tot de getroffen bedrijfssystemen. Dat melden experts van ict-beveiliger ESET dinsdag.

Beveiligingsexperts concludeerden vrij snel na de grootscheepse cyberaanval vorige week – waarbij duizenden bedrijfscomputers werden getroffen – dat de cyberaanvallers de malware onder meer via het boekhoudprogramma M.E.Doc hebben verspreid. Onderzoekers van het Slowaakse bedrijf ESET schrijven dinsdag op de site dat er al sinds april een zogeheten ‘achterdeur’ bestaat in de software van M.E.Doc, destijds stiekem verspreid via een officiële update.

M.E.Doc is software die door vrijwel alle Oekraïense bedrijven wordt gebruikt om elektronische documenten te maken. Het programma is er noodzakelijk voor zaken met de belastingdienst en andere overheidsinstellingen. Buitenlandse bedrijven die zakendoen met Oekraïne raakten zo besmet, zoals de Deense reder Maerks en de Nederlandse pakketbezorger TNT.

Oekraïne werd veruit het zwaarst getroffen door de malware, die zich voordeed als ransomware. Dat is kwaadaardige software die bestanden versleutelt voor losgeld. Opvallend aan deze malware was echter de ongewone vernielzucht: zo wordt de harde schijf van de getroffen computers geblokkeerd. Het betaalmechanisme van de malware stak juist bijzonder amateuristisch in elkaar.

Het is nog niet helder wie er verantwoordelijk is voor de cyberaanval, die ook de Rotterdamse haven enkele dagen deels platlegde. De Oekraïense staatsveiligheidsdienst wijst naar Russische veiligheidsdiensten als boosdoener. Sinds de landen in conflict zijn, steeg het aantal cyberaanvallen op Oekraïne dramatisch.