Opnieuw zijn wereldwijd duizenden bedrijven en organisaties getroffen door een ransomware-aanval. Wat is er tot nu toe gebeurd? Wie zijn de slachtoffers? Wat kun je doen om problemen te voorkomen? Computable zet op een rij wat we tot nu toe weten.
Wat is er aan de hand?
Ict-beveiliger Kaspersky meldt op 27 juni 2017 dat er sprake is van een nieuwe wereldwijde golf van ransomware-aanvallen. Criminelen blokkeren de systemen van slachtoffers en vragen voor driehonderd dollar aan Bitcoins als losgeld voor het opheffen van de versleuteling van de data.
De omvang van de gijzelsoftware roept volgens de beveiligers vergelijkingen op met de WannaCry-aanval die in mei van dit jaar plaatsvond. Ook verschijnen in verschillende media berichten dat de aanval een variant is op Petya, een ransomware-variant die in 2015 de kop op stak. Volgens Kaspersky gaat het echter om een nieuw soort aanval. Ze geven de ransomware de naam ExPetr.
Volgens de beveiliger gaat het om een complexe aanvalsvorm die systemen via verschillende wegen compromitteert. Daarbij wordt onder andere gebruik gemaakt van gemodificeerde vormen van EternalBlue en EternalRomance. Dat zijn varianten op een achterdeur die de NSA heeft ontwikkeld om via lekken in Microsoftsystemen bedrijfsnetwerken binnen te dringen.
Wie zijn er getroffen?
De beveiliger detecteert in eerste instantie ongeveer tweeduizend aanvallen op de systemen van zijn klanten. Het gaat vooral om aanvallen op bedrijven en organisaties in Rusland en Oekraïne. Ook Polen, Italië, Groot-Brittannië, Duitsland, Frankrijk en de VS worden genoemd. Later blijkt dat ook Nederlandse bedrijven slachtoffer zijn.
Het gaat onder meer om twee containerterminals van APM op de Rotterdamse Maasvlakte. Door een aanval op de ict-systemen van moederbedrijf Maersk liggen wereldwijd activiteiten van het containerbedrijf stil. Ook pakketvervoerder TNT Express en medicijnfabrikant MSD kampen met problemen door de aanval.
De politie besluit om uit voorzorg bepaalde webformulieren van de eigen website uit te schakelen.
‘Wegens voorzorgsmaatregelen tegen een mogelijke cyberaanval kunnen functionaliteiten op onze website Politie.nl tijdelijk niet of niet volledig beschikbaar zijn. Formulieren die worden ingevuld en verstuurd, komen mogelijk niet of pas veel later aan’, meldt de politie aan bezoekers van de site.
Wat kun je doen om problemen te voorkomen?
Kaspersky adviseert alle bedrijven om hun Windows-software te updaten. Gebruikers van Windows 7 wordt geadviseerd de MS17-10 security-patch te installeren. Daarnaast wijst de beveiliger op het belang van backups. ‘Periodieke en gerichte backups van data zorgen dat je ook na dataverlies toegang tot je gegevens houdt.’
De beveiliger adviseert bedrijven en organisaties bovendien om de AppLocker-feature van Windows OS te gebruiken om te voorkomen dat er een bestandsuitvoering plaatsvindt op mobiele apparaten. Door de PSExec utility van de Sysinternals Suite uit te schakelen, moet voorkomen worden dat de criminelen een bestand met de naam ‘perfc.dat’ installeren.
Het virus komt voort uit een Oekraïens boekhoudprogramma wat in de Oekraïne word gebruikt. Veel bedrijven die vestigingen en bindingen met de Oekraïne hebben zijn de bron van besmettingshaard in de rest van de wereld .Kaspersky Anti Virus die dag en nacht vecht om dit virus te bestrijden is verboden in de Oekraïne net als het Russisch Boekhoudprogramma dat vroeger in de Oekraïne gebruikt werd .