Wereldwijde gijzelsoftware-aanval stilgelegd: 'De wereld is gered'

De cybersecurity-onderzoeker die de aanval stil heeft weten te leggen ontdekte dat het virus zichzelf uit kan zetten met een ingebouwde 'kill switch'. Die is geactiveerd, waardoor verdere verspreiding van de massale ransomwareaanval waar landen gisteren wereldwijd door werden getroffen is gestopt. Ziekenhuizen en banken konden door de 'gijzeling' niet meer bij hun computerbestanden, tenzij ze losgeld aan de criminelen achter de aanval zouden betalen.

Kapen

Het begon vrijdag rond een uur of 2 in een groot aantal Britse ziekenhuizen. Medewerkers kregen op hun computers berichten waarin melding werd gemaakt van het kapen van hun computer. Het is een typisch voorbeeld van ransomware (gijzelingssoftware): pas na betaling worden de systemen weer vrijgegeven. In dit geval gaat het om een bedrag van 300 dollar, te betalen in bitcoins. De aanvallen zijn puur gericht op afpersing, niet uit politieke doeleinden. Ook hebben de criminelen zich niet specifiek op één doel gericht.

Rusland is volgens digitale beveiligingsbedrijven het zwaarst getroffen door de cyberaanvallen. Onder meer het ministerie van Binnenlandse Zaken is slachtoffer geworden. Ook Russische banken zijn het slachtoffer geweest van massale cyberaanvallen, maar die zijn allemaal afgeslagen. Dit heeft de centrale bank in Moskou zaterdag laten weten. Russische media meldden dat ook de staatsspoorwegen zonder succes zijn aangevallen door hackers.

De aanval is gedaan met een nieuwe ransomware-variant, WannaCry genaamd. Dit programma verspreidt zich razendsnel via de netwerken waar computers op zijn aangesloten, zoals in het geval van de Engelse ziekenhuizen, maar ook bij Spaanse banken. Zodra een computer is besmet, gaat deze op zoek naar andere slachtoffers in het netwerk.

De drie grootste cybergevaren

Ransomware wordt gezien als een van de grootste cybergevaren in de huidige tijd. Hoe werkt het en wat kunt u ertegen doen? (+)

Alles online

Volgens Mark Loman, beveiligingsonderzoeker bij Sophos, is de oorzaak van de aanval te herleiden naar vorig jaar, toen de NSA is gehackt. De goedgevulde cybergereedschapskist van de NSA - waaronder een groot lek in Windows waar WannaCry gebruik van maakt - kwam in handen van een hackersgroep genaamd Shadow Brokers. Deze groep bood het hackgereedschap voor miljoenen aan criminelen of andere geïnteresseerden aan, maar niemand hapte toe. Ook de NSA niet. Hierop dreigde Shadow Brokers alles online te gooien, wat in april daadwerkelijk is gebeurd, met de aanval van vandaag tot gevolg.

De NSA heeft in maart wel Microsoft gewaarschuwd omdat WannaCry gebruik maakt van een lek in Windows. Hierop kwam Microsoft in diezelfde maand met een zogenoemde patch uit, dat het probleem verhelpt. 'Het probleem is echter dat verouderde Windows-versies niet worden ondersteund', zegt Loman. Als ziekenhuizen bijvoorbeeld gebruikmaken van Windows XP, dan zijn ze kwetsbaar.

Het Nationaal Cyber Security Centrum (NCSC) in Nederland heeft inmiddels een waarschuwing uitgestuurd naar de vitale sectoren, zoals gas-, water-, en elektriciteitsvoorziening en ziekenhuizen. In maart kwam het Rathenau Instituut nog met een rapport uit waarin wordt gewaarschuwd voor ransomware. Ziekenhuizen, burgers en overheid zijn verontrustend slecht beveiligd, zo stelden de onderzoekers.

Het is nog onduidelijk waar WannaCry precies aan zijn opmars is begonnen. Dat kan zijn gebeurd via een mailtje met een link naar een besmette site.