‘Gijzelsoftware SamSam treft ook Nederlandse bedrijven’

Eerder werd SamSam al aangetroffen op computers in andere Europese landen, nu dus ook in Nederland. Dat zegt cybersecurityspecialist Fox-IT.

Archiefbeeld. Foto Koen van Weel/ANP

De afgelopen maanden zijn zeker tientallen Nederlandse bedrijven getroffen door de gijzelingssoftware SamSam. Dat bericht persbureau ANP op basis van cyberbeveiligingsbedrijf Fox-IT, waar slachtoffers te rade zijn gegaan.

Gijzelingssoftware blokkeert een computersysteem of -netwerk waardoor het niet meer gebruikt kan worden. Het virus vraagt ‘losgeld’ om de computer weer vrij te geven. Eerder werd SamSam al gezien in andere Europese landen, nu dus ook in Nederland.

Fox-IT kan niet zeggen hoe hoog de financiële schade voor de bedrijven in totaal is, omdat niet alle bedrijven die besmet raakten met de afpersingssoftware zich bij hen melden. Wel zegt het bedrijf dat het om zowel om midden- en kleinbedrijven gaat als om grotere bedrijven.

Hackers mogelijk uit Iran

SamSam onderscheidt zich van andere afpersingssoftware, zoals WannaCry, doordat de hacker eerst inbreekt in het computersysteem. Na een tijdje in het systeem rond te neuzen past de hacker het losgeldbedrag aan op het type bedrijf waar hij is ingebroken. Hoe groter of rijker het bedrijf, hoe hoger het bedrag - in sommige gevallen wordt om tonnen euro’s gevraagd. Betaling vindt plaats in bitcoins.

Het virus wordt waarschijnlijk bediend vanuit Iran. De Amerikaanse politiedienst FBI heeft vier dagen geleden twee Iraanse verdachten aangewezen. In het opsporingsverzoek staat dat de twee mannen in drie jaar tijd zes miljoen dollar aan losgeld hebben ontvangen van slachtoffers van de software. De slachtoffers waren bedrijven en organisaties en instituten, actief in onder andere zorgverlening, transport en lokale overheden.

Lees ook: Zeven tips om je te beschermen tegen WannaCry

NRC- stelde vier vragen over SamSam aan cyberspecialist Frank Groenewegen, hij is onderzoeker bij Fox-IT:

1. Wat is er bijzonder aan SamSam?

“Traditioneel kwam gijzelsoftware altijd via de mail binnen, via phishing. Dan kreeg je een nepfactuur of een bijlage waar het virus in zit. Daarbij zitten particulieren en bedrijven door elkaar en dus was ook het losgeld lager. SamSam gaat op een andere manier te werk. Zij maken gebruik van bepaalde servers die aan het internet hangen die slecht beveiligd zijn. Het gaat om een Remote Desktop Protocol-server (RDP, waarmee je op afstand kunt inloggen op een computer) die op het internet is aangesloten en een slechte gebruikersnaam of wachtwoord heeft. Dit is eigenlijk een oproep aan elk bedrijf: zorg dat je dat niet hebt.”

2. Lopen particuliere internetgebruikers ook risico?

“Wel als ze zo’n RDP-server hebben die verbonden is met het internet. En een slechte gebruikersnaam heeft, zoals gebruiker ‘Admin’ en dan als wachtwoord ‘wachtwoord’”.

3. Valt een besmette computer nog te repareren? Of wordt het sowieso betalen?

“Als je een back-up hebt die niet geïnfecteerd is kun je die terugzetten. Maar er zit geen kwetsbaarheid of zwakheid in de versleuteling van de computer. Wij kunnen hier niet omheen. We kunnen wel onderzoek doen naar hoe er is ingebroken, zodat het niet nog een keer gebeurt.”

4. ‘WannaCry’, Petya en nu SamSam. Wie bedenkt de namen voor afpersingssoftware?

“Wie er het eerst over schrijft, een antivirusbedrijf, ICT’er of techneut. Wie als eerste schrijft over zo’n specifieke software en de code en de eigenschappen kiest een naam. Daarna houdt men zich eraan zodat iedereen weet waar het over gaat.”

    • Simone Peek