Toen Oost-Europa vorige week doelwit van een nieuwe aanval met gijzelsoftware was, kreeg Oekraïne in het geheim nog meer aanvallen te verduren. “We zagen herhaaldelijk sterkere, stillere aanvallen om financiële en vertrouwelijke informatie buit te maken”, zegt het hoofd van de Oekraïense cyberpolitie tegen persbureau Reuters.
De ransomware-aanval werd eind oktober uitgevoerd met software die de naam Bad Rabbit heeft gekregen. Hij trof vooral Rusland, maar ook Oekraïne. Dat land krijgt de laatste jaren veel cyberaanvallen over zich heen.
Mogelijk was Bad Rabbit een afleidingsmanoeuvre. Politiechef Sergei Demedjoek zegt dat er steeds vaker “een openlijke, meteen duidelijke aanval is, terwijl daaronder een verborgen, goed geplande aanval aan de gang is, waar niemand aandacht aan besteedt.”
Schijnbeweging
Oekraïne gaat ervan uit dat de openlijke aanval van Bad Rabbit en de mogelijke verborgen aanval zijn uitgevoerd door dezelfde daders.
In juni werd Oekraïne getroffen door andere gijzelsoftware, NotPetya. Sinds juni heeft Oekraïne vijf andere grote cyberaanvallen verijdeld, zegt Demedjoek. Hij wil niet zeggen op wie die aanvallen waren gericht.
Ook NotPetya was mogelijk een schijnbeweging. Zo is het opvallend dat het geëiste losgeld, toch al vrij laag, niet te betalen was. De daders waren onbereikbaar, terwijl ze normaal gesproken alles doen om slachtoffers te laten betalen, tot het inzetten van helpdesks aan toe. Vermoedelijk hebben de makers stiekem zogeheten back doors geïnstalleerd in de getroffen systemen. Dat zijn achterdeuren waarmee ze later ongezien toegang kunnen krijgen. De aanvallers hebben die open deuren inmiddels ook gebruikt, zegt Demedjoek, maar het is niet bekend hoe.
