Gisterenmiddag werden tientallen, zo niet honderden instituten en bedrijven over de hele wereld gehackt. In Nederland hebben TNT en de Rotterdamse containerterminal van APM er last van. Het leek eerst om gijzelingssoftware (ransomware) te gaan, waarbij het slachtoffer geld moet betalen om zijn gegevens terug te krijgen.

Het is de tweede keer in korte tijd dat een massale gijzelsoftware de computerwereld op z'n kop zet. Deze nieuwste aanval raakt echter ook Nederlandse bedrijven, terwijl de vorige, die de naam WannaCry kreeg (lees: 'Cyberaanval lijkt over hoogtepunt heen'), dat niet deed.

UPDATE: Beveiligingsbedrijf ESET uit Slowakije heeft bekeken welke landen vooral getroffen zijn door de aanval. Verrewege het grootste deel van de aanvallen zit in Oekraïne: ruim 80 procent. In dat land is de financiële sector en de energiesector hard getroffen. Zelfs de controle van de oude kerncentrale Tsjernobyl ligt eruit. De bron van de infectie is ook gevonden: het softwarepakket M.E.Doc, in Oekraïne veel gebruikt voor de boekhouding.

De aanval sluit belangrijke gegevens op een netwerk af van gebruikers. Daarnaast zorgt hij ervoor dat een computer helemaal niet meer kan opstarten. De gebruikers moeten 300 dollar in bitcoins overmaken en de sleutel van hun bitcoinportomonnee mailen naar een e-mailadres. Dat laatste was echter vlak na de aanval al niet meer mogelijk; de Duitse emailprovider van de hacker besloot zijn adres op te heffen. Hoewel dat ervoor zorgt dat de hacker geen geld meer kan verdienen, laat het de slachtoffers hulpeloos achter: zij kunnen hun bestanden niet meer ontgrendelen door te betalen.
 

Geen grote dreiging

Toch is het virus niet per se een grote bedreiging, denkt Jornt van der Wiel, technisch adviseur bij antivirusbedrijf Kaspersky. 'Als je goede back-ups hebt op een centrale server is het een kwestie van je computer opnieuw installeren en je gegevens terughalen. De grotere bedrijven en instanties die geïnfecteerd zijn hebben allemaal wel zo'n systeem.'

Dat betekent niet dat het virus geen impact heeft. In Nederland moest medicijnfabrikant MSD de productie van pillen deels staken. Wereldwijd liggen bedrijven op hun gat; medewerkers kunnen uit voorzorg hun computer niet gebruiken waardoor er veel geld verloren gaat. Van der Wiels uitleg suggereert echter dat dit tijdelijke ongemakkelijkheden zijn en dat de schade uiteindelijk mee zal vallen.

De techniek achter het virus leek aanvankelijk afkomstig van de Petya-familie van malware. Deze verscheen in 2016 op het cybertoneel en kreeg in het wereldje een zekere naam. Petya was namelijk een virus dat de 'master boot file' op Windows-computers besmette. Daardoor startte Windows niet meer op. Van der Wiel: 'Dit virus blokkert de boot-file ook, maar lijkt verder niet op Petya. Daarom krijgt het nu namen zoals NotPetya, om het verschil te laten zien. Waarschijnlijk heeft de hacker simpelweg delen van de Petya-code hergebruikt en verder zijn eigen draai aan het virus gegeven.'

De hack maakt gebruik van een kwetsbaarheid in Windows. Deze kwetsbaarheid werd gebruikt door de Amerikaanse inlichtingendienst NSA, maar zij informeerden Windows niet over dit lek. In april kwam de NSA-informatie door een hack op straat te liggen, en nu voelen computergebruikers wereldwijd de gevolgen van de kwetsbaarheid.

 

Internetbesmetting

Tot nu toe is het aantal besmettingen door NotPetya veel kleiner dan bij Wannacry, dat ruim 200.000 computers infecteerde. 'Dat kwam onder andere doordat Wannacry ook via het internet computer kon besmetten. Dit virus werkt alleen binnen één netwerk.' Dat maakt NotPetya echter niet minder gevaarlijk; het heeft veel meer methoden om computers te infecteren dan Wannacry en is dus moeilijker te bestrijden. Van der Wiel: 'Zelfs als je het grootste gedeelte van je computers virusvrij maakt, kan één infectie zo het hele netwerk weer besmetten.'

Het doel van NotPetya is onduidelijk. Het lijkt erop dat de maker snel geld wilde verdienen, maar Van der Wiel bekritiseert het 'business model' van de computercrimineel: 'Dit lijkt me geen heel effectieve methode. De hack richt zich op grote bedrijven, die vaak goede back-ups hebben en dus eenvoudig om de ransomware heen kunnen. Bovendien vraagt hij maar weinig geld. Zo'n soort hack is effectiever als je het richt op het MKB of ZZP'ers, maar dat gebeurt hier niet. Tot nu toe betaalden maar veertig mensen, daar wordt je niet rijk van.'

 

Toekomst

Na twee hacks in evenzoveel maanden roept de vraag op of dergelijke cyberaanvallen voortaan gewoon worden. Van der Wiel denkt van niet: 'Het is goed te bestrijden met antivirussoftware. Sommige merken hebben tegenwoordig een module die niet kijkt naar bekende virussen, maar verdacht gedrag herkent op een computer. Ziet die module bijvoorbeeld dat gegevend versleuteld worden, dan is dat hoogste verdacht en blokkeert het programma die actie voordat er teveel schade is. Dat soort antivirussoftware zal steeds belangrijker worden om preventief virussen te blokkeren.'

Openingsbeeld: Santeri Viinamäki