Wereldwijd computers gegijzeld bij enorme ransomware-aanval

Er is een wereldwijde ransomware-aanval aan de gang die in hoog tempo Windows-computers gijzelt. De aanval leek vrijdagmiddag te zijn ingezet op ziekenhuizen in Groot-Brittannië, maar verspreidt zich inmiddels rap naar andere landen, waaronder de VS, China, Spanje en Italië. Ook uit Nederland komen inmiddels meldingen binnen van aanvallen. Een succesvolle oplossing is er vooralsnog niet.

Het gaat om de zogenaamde WanaCrypt0r-software, malware die zich van de een naar de andere computer in hetzelfde netwerk verspreidt en die op slot gooit tot er losgeld betaald is. In dit geval 300 dollar in bitcoin.

Groot-Brittannië Vrijdagmiddag kwam het bericht naar buiten dat in meerdere Britse ziekenhuizen stilgelegd waren nadat zij het doelwit waren geworden van de aanval. Het gaat daarbij om zeker zestien ziekenhuizen, maar ook andere bedrijven waren de dupe. De getroffen ziekenhuizen werden volgens The Guardian gelijktijdig aangevallen. Computers en mailservers liepen vast en op het scherm verscheen de melding dat pas weer van de systemen gebruikt gemaakt kan worden, wanneer het bedrag betaald is.

De daders zouden volgens gezondheidsdienst NHS geen patiëntgegevens hebben ingezien, of in elk geval is er niets dat daarop wijst. Wel is aan patiënten gevraagd om niet naar het ziekenhuis te komen, tenzij er sprake is van een levensbedreigende situatie. Ook zijn de telefoonsystemen in de ziekenhuizen getroffen, waardoor er geen telefoonverkeer meer van of naar de ziekenhuizen mogelijk is.

Lek Dat de schadelijke software zich zo schijnbaar makkelijk heeft kunnen installeren en verspreiden, is het gevolg van een zwakke plek in het Windows-besturingssysteem. Dat lek in het SMB-protocol, waarmee computers bestanden met elkaar uitwisselen, werd in april van dit jaar openbaar gemaakt door hackersgroep Shadow Brokers. Het lek is in maart al gedicht door Microsoft, maar om daarvan te profiteren moeten gebruikers wel eerst de laatste updates installeren. En dat is in veel gevallen dus nog niet gebeurd.

Nederland Het Nederlandse Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven dat er ‘een grote internationale ransomware-campagne’ aan de gang is. Daarbij moet volgens het NCSC extra gewaakt worden voor het openen van email ‘vanuit niet vertrouwde bronnen’. Gas-, water- en elektriciteitsbedrijven zijn door het NCSC op de hoogte gesteld van het gevaar. Ook Nederlandse ziekenhuizen zijn inmiddels ingelicht.

Beveiligingsbedrijf Kaspersky laat weten dat er in 74 landen meldingen zijn gemaakt van de aanvallen en het aantal meldingen loopt nog altijd op.

Update 10:00 De aanval is stopgezet, meldt de NOS. Een Britse onderzoeker die de software onderzocht ontdekte toevallig dat er een optie in zat verwerkt om de verspreiding stop te zetten. Die trad in werking nadat hij een bepaalde domeinnaam had geregistreerd die in de software vermeld werd. De ongebruikelijke optie zou een aanwijzing kunnen zijn dat de software niet ontworpen is door gewone criminelen.

Lees ook de opinie van Han van der Horst.