De aanvallers achter Petya, de ransomware-aanval die 27 juni wereldwijd uitbrak, hebben waarschijnlijk drie maanden lang toegang gehad tot systemen voordat deze werden versleuteld. Dat stellen experts van ict-beveiliger Eset na een analyse van de kwetsbaarheid van M.E. Doc, het boekhoudprogramma dat waarschijnlijk de besmettingshaard vormt voor de wereldwijde cyberaanval.
De beveiliger gaat er ook van uit dat de infecties bij gebruikers van M.E. Docs zorgvuldig zijn gekozen. Volgens Eset is de aanval van de Petya-ransomware waarschijnlijk nog volop aan de gang en maakt dat de kans groot dat huidige gebruikers van het financiële softwarepakket M.E. Docs nog steeds zijn gehackt.
Volgens Eset is voor de aanval met de Petya-ransomware een ‘achterdeur’ in de M.E. Doc-software gebruikt. De beveiliger heeft ontdekt dat deze ingang in elk geval drie maanden in de software aanwezig is geweest, zodat de aanvallers al die tijd in staat waren om op afstand de controle van geïnfecteerde systemen volledig over te nemen. Zo konden ze bijvoorbeeld wachtwoorden stelen en andere commando’s uitvoeren. De aanvallers konden ook afzonderlijk bepalen welke actie ze bij het betreffende bedrijf wilden ondernemen.
Het identificeren van individuele bedrijven gebeurde door het gebruik van unieke klantnummers van M.E. Docs. Waarschijnlijk hadden de aanvallers toegang tot de broncode van de M.E. Doc-software.
Schade kan verder oplopen
Dave Maasland, directeur Eset Nederland: ‘De geïnfecteerde bedrijven zijn waarschijnlijk zorgvuldig uitgekozen. Aangezien de aanvallers drie maanden volledige toegang tot de netwerken hadden, kan de schade bij getroffen bedrijven verder oplopen. Momenteel is het nog niet met zekerheid te zeggen wat de aanvallers allemaal hebben buitgemaakt. Ook niet in Nederland. Dat kan van alles zijn.’
Eerder werd bekend dat de aanval is ingezet om zo veel mogelijk schade aan te richten en het innen van losgeld niet de drijfveer achter de aanval is. Bij de wereldwijde aanval zijn ook Nederlandse bedrijven betrokken geraakt. Het gaat onder meer om twee containerterminals van APM op de Rotterdamse Maasvlakte. Ook pakketvervoerder TNT Express en medicijnfabrikant MSD zijn Nederlandse bedrijven die met de aanval te maken hadden.
