Bedrijven in verschillende landen zijn getroffen door een grootschalige nieuwe aanval met ransomware. Het gaat onder meer om een containeroverslagbedrijf in Rotterdam, maar ook allerlei Oekraïense firma's en het Russische oliebedrijf Rosneft.
Bij de aanval lijkt een nieuwe variant van de zogenoemde Petya-ransomware te worden gebruikt. Op foto's is te zien dat dezelfde melding in ieder geval wordt getoond op getroffen computers van het Oekraïense energiebedrijf Kyivenergo en het Rotterdamse APM Terminals.
De aanval lijkt te zijn begonnen in Oekraïne; daar zijn veel bedrijven in verschillende sectoren getroffen. In Kiev werd personeel van Kyivenergo opgedragen om alle computers zo snel mogelijk uit te schakelen, meldt de Kyiv Post. Ook branchegenoot Ukrenergo zou een doelwit zijn, maar zou tot op heden nog niet ernstig zijn getroffen. Persbureau AFP meldt dat ook enkele controlesystemen van de kernreactor Tsjernobyl getroffen zijn.
Wereldwijd
Volgens de centrale bank van Oekraïne worden er ook cyberaanvallen gericht op meerdere commerciële banken uitgevoerd, via een "onbekend virus". De banken zouden moeite hebben met het verwerken van betaalverzoeken, meldt Reuters. Ook Deutsche Post kampt in Oekraïne met problemen en zelfs het systeem dat de straling bij de kerncentrale van Tsjernobyl in de gaten houdt is volgens AFP getroffen.
Ook de Russische oliegigant Rosneft en staalproducent Evraz zeggen doelwit te zijn van een cyberaanval. Daarnaast komen er veel meldingen van de ransomware uit India.
Een bron binnen het Oekraïense ministerie van Binnenlandse Zaken zegt tegen het persbureau dat het gaat om de grootste cyberaanval in de geschiedenis van het land. Beveiligingsbedrijf Kasperky publiceerde een eerste overzicht van het aantal bekende aanvallen per land, waarbij Oekraïne en Rusland veruit de grootste slachtoffers zijn.
"Het lijkt niet te gaan om een gerichte aanval", zegt Erik de Jong, Chief Research Officer van computerbeveiligingsbedrijf Fox-IT.
Nederland
In Rotterdam werd containerbedrijf APM Terminals getroffen, waardoor al het werk is stilgelegd. Ook moederbedrijf Maersk zegt te maken te hebben met een grootschalige cyberaanval.
Pakketvervoerder TNT Express zou ook getroffen zijn door de ransomware, zeggen bronnen tegen RTL Nieuws. Volgens RTV Oost zijn ook computers van bouwmaterialengroothandel Raab Karcher besmet. Medicijnfabrikant MSD is dinsdag getroffen door een cyberaanval waardoor de productie deels stilligt, maar het bedrijf kan niet zeggen of er sprake is van ransomware.
De Nederlandse overheid is niet getroffen, stelt het Nationaal Cyber Security Centrum, de waakhond van het ministerie van Veiligheid en Justitie. Er zijn geen besmettingen gevonden.
"Naar ons gevoel lijkt het alsof er meer slachtoffers zijn dan bij WannaCry, of ze zijn in ieder geval meer zichtbaar", aldus De Jong van Fox-IT. "Net als bij alle computeraanvallen zullen er heel veel slachtoffers zijn waar we nooit van zullen weten."
Fox-IT wijst op het belang van het installeren van de nieuwste Windows-updates. Net als bij de WannaCry-ransomware zijn computers zonder de laatste updates veel kwetsbaarder.
Op foto's van de ransomwaremeldingen is te zien dat wordt gevraagd om een bedrag van 300 dollar om computers te ontgrendelen. Dit bedrag moet worden voldaan in bitcoin. Naar het losgeldadres wordt vooralsnog maar zeer beperkt geld overgemaakt; slechts zo'n twintig keer, goed voor zo'n vierduizend euro.
De getoonde melding
WannaCry
De aanval met de Petya-ransomware, die ook wel bekendstaat als Petrwrap, doet denken aan de grote aanval met de ransomware WannaCry. Die trof vorige maand bedrijven in veel verschillende landen. Ook nu lijkt het virus zich razendsnel te verspreiden over de hele wereld.
Volgens beveiligingsbedrijf Kaspersky gaat het echter niet om Petya, maar om een variant op het virus dat nog niet eerder is gesignaleerd. Kaspersky hanteert de naam 'NotPetya' voor de gijzelsoftware.
Uit een melding op Virustotal, een database voor kwaadaardige software die door beveiligingsonderzoekers wordt gebruikt, blijkt dat de meeste antiviruspakketten de nieuwe variant van het Petya-virus niet herkennen.
Het virus maakt volgens beveiligingsbedrijf Avira misbruik van hetzelfde Windows-lek dat WannaCry in staat stelde om computers te infecteren. Microsoft heeft dit euvel verholpen met een update, maar computers die de update nog niet hebben ontvangen zijn nog altijd kwetsbaar.
Versleuteld
Petya was begin 2016 ook al actief, toen voornamelijk in Duitsland. Aanvallers verspreidden de ransomware toen vooral via e-mails met een link naar een malafide bestand. Na het openen van dat bestand startte de computer opnieuw op, en was de infectie voltooid.
Anders dan WannaCry versleutelde deze eerdere versie van Petya echter niet enkele bestanden of mappen, maar het opstartgedeelte van de computer. Dat gebeurde wanneer de computer opnieuw werd opgestart, waarna het bestandssysteem werd versleuteld en Windows de bestanden niet meer zelf kon openen.
Vervolgens versleutelde Petya ook nog individuele bestanden. Beveiligingsonderzoeker Mikko Hypponen dinsdag een lijst met de bestandstypen die door de huidige versie van Petya versleuteld zouden worden. Direct na besmetting vraagt Petya om een losgeldbetaling in bitcoin.
