Nieuwe gijzelsoftware werkt als gerichte tijdbom

Volgens beveiligingsbedrijf Fox-IT wordt nieuwe gijzelsoftware (ransomware) verspreid, waarbij een back-up vaak geen redding meer kan brengen. Er wordt namelijk eerst ingebroken op de computer om de beveiliging en de financiële draagkracht van het slachtoffer te onderzoeken. Pas daarna slaan de criminelen toe.

Verschillende Nederlandse bedrijven zijn volgens Fox-IT al het slachtoffer geworden van de ransomware SamSam, die in 2016 voor het eerst de kop op stak toen er ziekenhuizen mee werden afgeperst. Hoeveel slachtoffers er inmiddels zijn is niet bekend, omdat deze dit lang niet altijd melden. Sommigen betalen het gevraagde losgeld. Anderen proberen het computersysteem te herstellen. Volgens het beveiligingsbedrijf worden zowel MKB-ers als grote bedrijven getroffen. Ook zullen er bedrijven zijn waar de criminelen al zijn binnen gedrongen, maar waarvan nog niet de bestanden zijn versleuteld.

Ellende
Bij eerdere aanvallen met gijzelsoftware, zoals met WannaCry, moest een slachtoffer op een link in een valse e-mail klikken of een valse website bezoeken. Dan werd ook meteen met het versleutelen van bestanden begonnen. Het terugzetten van een recente back-up was dan meestal voldoende om de ellende ongedaan te maken. SamSam werkt anders. De criminelen dringen binnen via kwetsbaarheden in de beveiliging en inventariseren dan eerst hoe het systeem in elkaar zit. Daarbij wordt bijvoorbeeld gezocht naar de back-ups, zodat die eerst onklaar gemaakt kunnen worden. Ook wordt geprobeerd te achterhalen hoeveel losgeld het slachtoffer zou kunnen betalen. Als blijkt dat dit de moeite waard is, wordt de aanval gestart en krijgt het slachtoffer de rekening gepresenteerd. Die kan volgens Fox-IT oplopen van tienduizenden euro’s tot enkele tonnen, te betalen in bitcoins. Dat is aanzienlijk meer dan wat de criminelen achter eerder verspreide gijzelsoftware vroegen. Ook wordt veel gerichter te werk gegaan dan voorheen.

Verdachten
De FBI verdenkt twee Iraniërs van het verspreiden van SamSam. Die zouden daar al sinds 2015 mee bezig zijn en zich vooral op ziekenhuizen richten, omdat daar makkelijk kwetsbaarheden in de beveiliging zijn te vinden en het bedrijven zijn die geen moment zonder hun automatisering kunnen. Er is een internationaal opsporingsbevel afgekondigd, maar voorlopig zijn de twee verdachten voortvluchtig.