Nieuwe ransomware-aanval in Oekraïne

In Oekraïne is opnieuw een ransomware-aanval gaande. Dit keer gaat het echter niet om WannaCry, maar om de malware genaamd XData.

XData blijkt nog veel besmettelijker dan WannaCry, zegt een beveiligingsonderzoeker van het MalwareHunterTeam tegenover Wired. Volgens de onderzoeker heeft de ransomware al voor drie keer zoveel infecties gezorgd als WannaCry in totaal behaalde in het land. Tot nu toe zijn er ongeveer honderd infecties geregistreerd, tegenover in totaal dertig infecties bij de WannaCry-aanval in heel Oekraïne.

Mocht de malware zich verder verspreiden, dan zouden de gevolgen groter kunnen zijn dan bij WannaCry. "Als het zich zo snel verspreidt in Oekraïne, is het niet onwaarschijnlijk dat het zich ook buiten het land gaat verspreiden", stelt de Duitse beveiligingsonderzoeker Matthias Merkel.

Volgens beveiligingsbureau Symantec zijn er ook een aantal meldingen uit Rusland gekomen over de aanval. Daarnaast zijn er een paar aanvallen gemeld in Duitsland en Estland. Het totale aantal besmettingen wereldwijd ligt volgens de laatste cijfers van het MalwareHunterTeam op 135 systemen.

XData

Deze vorm van ransomware versleutelt net als WannaCry data op computers. Pas als er een bepaald bedrag is betaald, worden de bestanden weer ontsleuteld. Opvallend genoeg vraagt Data niet om een specifiek bedrag. Het MalwareHunterTeam denkt dat het bedrag per slachtoffer bepaald wordt. Een individu zou bijvoorbeeld minder moeten betalen dan een bedrijf.

Hoe XData apparaten precies infecteert en hoe het zich verspreidt, wordt nog onderzocht door experts. Wel is inmiddels duidelijk dat het niet mogelijk is om de bestanden na een infectie zonder te betalen weer te ontsleutelen met speciale software, wat bij WannaCry soms wel het geval is.

Ook verspreidt de malware zich waarschijnlijk niet via spam. "Er zijn te veel slachtoffers in een te korte tijd", stelt het MalwareHunterTeam tegenover Gizmodo. Zelfs al worden er extra hulpmiddelen ingeschakeld, krijg je "niet zo’n groot aantal slachtoffers met spam".

Onder de slachtoffers zitten nu een fabriek in Oekraïne, bij een ander bedrijf is de boekhoudafdeling getroffen. De ransomware heeft onder meer systemen die draaien op Windows Server 2008, Windows 7 en Windows 10 geïnfecteerd. "Maar waarschijnlijk zijn er meer besturingssystemen kwetsbaar."

Lees meer over:
Tip de redactie