Op duizenden Windows-computers in Nederland en België waart weer ransomware rond. GandCrab, zoals de nieuwste gijzelsoftware is gedoopt, eist van de slachtoffers duizend euro losgeld. Maarten van Dantzig, als cybersecurityspecialist verbonden aan Fox-IT, maant tot kalmte.
We hoeven er niet wakker van te liggen, zegt Van Dantzig over GandCrab, de gijzelsoftware die sinds kort opduikt en inmiddels duizenden computers in Nederland en België in de houdgreep heeft. Cybersecuritybedrijven zagen vooral de afgelopen twee maanden een ‘enorme stijging’ in het aantal besmettingen op Windows-computers.
Van Dantzig: ‘GandCrab is mogelijk iets professioneler en populairder dan normaal, maar zeker niet op een schaal zoals we dat zagen bij Wannacry en Petya. Het is een vorm die al lang bestaat: de ontvanger krijgt bijvoorbeeld een phishingmail en wordt verleid daarop te klikken. Pas daarna doet het virus zijn werk. Ransomware als Wannacry en Petya verspreidden zichzelf waardoor ze tot een enorme omvang konden uitgroeien.’
Wel is volgens Van Dantzig goed nagedacht over GandCrab. ‘Daarmee bedoel ik dat de malware continue up-to-date wordt gehouden. Constant worden er nieuwe features aan toegevoegd, vinden er updates plaats om ervoor te zorgen dat antivirussoftware de malware niet ziet.’
Bedrijfsleven
Uit de berichtgeving over GandCrab komt naar voren dat GandCrab vooral slachtoffers eist in particuliere kringen en dat het bedrijfsleven minder last ondervindt. Dat beaamt Van Dantzig. Bij de bedrijven die Fox-IT beschermt, en dat zijn vooral Europese bedrijven, ziet hij weinig succesvolle infecties. ‘Hoe dat kan? Misschien heeft GandCrab simpelweg de bedrijfsnetwerken niet weten te bereiken of zijn werknemers wat minder geneigd op zo’n phishingmailtje te klikken.’
De veiligheidsexpert voegt eraan toe dat ransomware bijzonder populair is en dat de meeste bedrijven tegenwoordig daarom hun back-ups wel klaar hebben – en dus minder vaak overgaan tot het betalen van losgeld. Lessons learned? ‘Mijn indruk is heel veel bedrijven geïnvesteerd hebben in oplossingen om hun bestanden niet kwijt te raken en te voorkomen dat hun netwerken eruit liggen.’ Hoewel Fox-IT meer klanten in Nederland dan België heeft, is er overigens geen reden om aan te nemen dat het aantal besmettingen in België lager of hoger dan in Nederland ligt, aldus Van Dantzig.
Cyrillisch
Volgens Van Dantzig is het zeer aannemelijk dat de makers uit Rusland komen. Op het ondergrondse forum waarop met GandCrab geadverteerd wordt, is de voertaal Russisch. Ook wordt het virus niet actief als je toetsenbord cyrillisch is. Dat zie je volgens Van Dantzig wel vaker bij dit type malware. ‘De makers weten dat als je geen ‘Russische landen’ – zoals bijvoorbeeld Rusland, Oekraïne en Servië – aanvalt, je minder last krijgt van de eigen autoriteiten. Bovendien heeft een land als Rusland geen uitleveringsverdrag met Westerse landen.’
Gevraagd naar of securityleveranciers wel genoeg doen om al dan niet gezamenlijk actie te ondernemen tegen ransomware, reageert Van Dantzig afwijzend. Hij vindt dat de industrie zich voldoende heeft voorbereid op dergelijke aanvallen. ‘Antivirussoftware wordt elke dag beter in het detecteren en stoppen van bijvoorbeeld ransomware. Die discussie dat dergelijke dreigingen en incidenten nu eenmaal onderdeel uitmaken van het businessmodel verstomt niet. Het blijft moeilijk omdat het een kat-en-muisspel is. De industrie blijft er altijd achteraan hobbelen. Je kan een preventieve detectie maken, maar de hacker komt daarna toch wel weer met wat nieuws.’
Apart
Zoals Van Dantzig al aanhaalde: voor bedrijven is het cruciaal om back-ups aan te leggen. En dan back-ups die echt belangrijk zijn, waaronder dus de belangrijke bestanden. ‘Je moet er bovendien voor waken dat die back-ups apart staan. Het zal bij GandCrab niet zo’n vaart lopen, maar je hebt bij gerichte ransomware-aanvallen weleens dat ze ook op de punten komen waar de back-ups liggen. Maar misschien nog belangrijker: controleer eens of die back-ups die klaarliggen ook daadwerkelijk zijn terug te zetten.’