Wereldwijde cyberaanval: wat we nu weten

28/06/17 om 11:36 - Bijgewerkt op 29/06/17 om 10:05

Gisteren zijn bedrijven wereldwijd het slachtoffer geworden van een cyberaanval waarbij internetpiraten 300 dollar eisen om getroffen computers te deblokkeren. Het belangrijkste nieuws over de cyberaanval op een rijtje.

Wereldwijde cyberaanval: wat we nu weten

© Getty Images/iStockphoto

Gisteren verspreidde een nieuwe ransomware-nachtmerrie zich over de wereld. Het epicentrum bevond zich in Oekraïne, waar de bedrijfssoftware M.E. Doc, dat vaak gebruikt wordt in financiële instellingen, als eerste besmet geraakte. Daarna lag het computernetwerk van de Oekraïense overheid en van een groot aantal bedrijven plat. Ook de detectiesystemen van Tsjernobyl werden getroffen, waardoor de radioactiviteit manueel moest worden gecontroleerd.

De cyber-epidemie verspreidde zich razendsnel naar bedrijven in alle werelddelen. In eigen land zijn verschillende kantoren van multinationals slachtoffer van de aanval, waaronder voedingsbedrijf Mondelez en medicijnenproducent MSD. Ook de pakjesdienst TNT en de terminals van havenbedrijf APM in Zeebrugge liggen plat.

Aanval gebruikt hetzelfde lek als Wannacry

De cyberaanval vertoont veel overeenkomsten met die van WannaCry in mei. Volgens verschillende beveiligingsbedrijven maakt de malware gebruik van dezelfde kwetsbaarheid die ook WannaCry wist uit te buiten: een lek in verouderde en niet geüpdatete Windows-systemen van bedrijven. Dat lek, SMBv1 'EternalBlue', werd oorspronkelijk ontdekt en gebruikt door de NSA, waarna het publiek gemaakt werd door het hackerscollectief de Shadow Brokers.

Aanval blokkeert meteen de harde schijf

In een recente update is het probleem verholpen, maar computers die de update nog niet hebben ontvangen blijven kwetsbaar voor het lek. "In tegenstelling tot andere types van ransomware, zal deze aanval geen bestanden één voor één encrypteren, maar blokkeert ze meteen de harde schijf. Om zichzelf te beschermen, moeten bedrijven meteen de laatste Microsoft veiligheidsupdates installeren en het SMBV1-sharing protocol uitschakelen", vertelt Maya Horowitz van beveiligingsbedrijf Check Point.

Twijfel of 'NotPetya' verwant is aan Petya

Het gijzelvirus werd al snel omschreven als 'Petya', omdat het om een variant zou gaan van de ransomware met dezelfde naam, die begin 2016 werd vastgesteld. Dat werd later evenwel in twijfel getrokken door het Russische Kaspersky Lab, een van de grootste cyberbeveiligingsbedrijven ter wereld. Op hun voorstel zijn vele onderzoekers de nieuwe variant 'NotPetya' gaan noemen.

Wat was het doel van de aanval?

Veel heeft de aanval de hackers nog niet opgebracht: deze voormiddag stond de teller op minder dan tienduizend dollar. Betalen heeft ook geen zin meer, want hun genoemde e-mailadres werd intussen geblokkeerd. Sommige cyberonderzoekers speculeren dat het hier gaat om een als ransomware verpakte aanval, met als doel om zo veel mogelijk schade aan te richten. Het betaaldeel is immers slecht gemaakt en het gevraagde losgeld, 300 euro, is laag. Er wordt gespeculeerd over een afleidingsmanoeuvre of een politieke aanval op Oekraïne, het land dat het ergst getroffen werd.

Onze partners