De Nederlandse ict-beveiliger Fox-IT waarschuwt voor gijzelsoftware SamSam. Die nieuwe vorm van ransomware saboteert eerst de back-ups en vergrendelt daarna de originele bestanden. Inmiddels zouden al tientallen bedrijven in Nederland door de ransomware getroffen zijn. Er zijn vooralsnog geen Belgische slachtoffers bekend bij Fox-IT.
Nederlandse bedrijven zijn de afgelopen maanden getroffen door een nieuwe vorm van gijzelsoftware. Die wordt SamSam genoemd. Het is niet bekend hoeveel financiële schade de software vooralsnog heeft aangericht in Nederland. Volgens cyberbeveiliger Fox-IT zijn tientallen ondernemingen getroffen, maar is dat waarschijnlijk nog maar het topje van de ijsberg. Het bedrijf weet namelijk niet hoeveel mensen de gijzeling op een andere manier hebben opgelost, bijvoorbeeld door losgeld te betalen of door de besmetting zelf op te lossen. Fox-IT noemt geen namen. Wel laat het weten dat het gaat om zowel ondernemingen in het midden- en kleinbedrijf als om grotere bedrijven.
Bij Fox-IT hebben zich vooralsnog geen Belgische klanten gemeld die slachtoffer zijn van de nieuwe ransomware, maar het bedrijf verwacht dat ook in België bedrijven slachtoffer zijn van de aanvallen. Dat beeld wordt bevestigd door Eddy Willems, beveiligingsexpert bij G-Data. Hij meldt aan de krant De Morgen dat in september en oktober van 2018 de meeste meldingen van SamSam binnenkwamen. Volgens Willems nemen de meldingen stilaan iets af.
SamSam werkt anders dan eerdere ransomware, zoals WannaCry en GandCrab. Die slaan meteen na besmetting toe, vergrendelen bestanden en eisen losgeld. Beveiligingsonderzoeker Frank Groenewegen van Fox-IT: ‘De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken. Pas als dat is gebeurd, slaat SamSam toe en worden de bestanden vergrendeld.’
Bitcoin
Doordat computersystemen gericht worden gegijzeld, kunnen de makers meer losgeld eisen dan bij andere besmettingen. Groenewegen: ‘Soms weten ze zelfs hoeveel geld een bedrijf op de rekening heeft staan. Die informatie kunnen ze gebruiken om de hoogte van het losgeld te bepalen. Bedrijven die niet genoeg geld hebben, gaan ze niet lastigvallen. Die zijn de moeite niet waard, dan gaan ze weg.’
Het losgeld begint vaak bij tienduizenden euro’s en kan oplopen tot enkele tonnen. Dat moet in bitcoins betaald worden. Bij eerdere gijzelsoftware ging het om enkele honderden euro’s losgeld.
Sommige gedupeerden konden door geluk terugvallen op een oude back-up of op een reservesysteem waar de aanvallers niet bij konden komen. Anderen weigerden uit principe te betalen. Maar er zijn ook bedrijven die geen andere optie zagen dan het losgeld te betalen, schrijft Fox-It in een persbericht over SamSam.
Verdachten
Inmiddels zijn verdachten uit Iran in de VS aangeklaagd, omdat ze sinds 2015 betrokken zouden zijn geweest bij het maken en verspreiden van de SamSam-ransomware. Het gaat om mannen van 34 en 27 jaar. Ze zijn allebei voortvluchtig.
Fox-IT: ‘In de VS zijn minstens tweehonderd organisaties getroffen door SamSam. Daaronder zijn de gemeentes Atlanta en Newark, de haven van San Diego en zeker drie ziekenhuizen. De twee verdachten zouden daar miljoenen aan hebben verdiend.’
Het Amerikaanse ministerie van Financiën in Washington heeft twee andere Iraniërs op een zwarte lijst gezet, omdat ze het losgeld zouden hebben witgewassen.
Opvolger van Petya en WannaCry
Volgens Fox-IT kan SamSam gezien worden als de opvolger van ransomware als Petya en WannaCry. In het bericht over SamSam geeft het securitybedrijf de volgende omschrijvingen van die gijzelsoftware:
- WannaCry – Hoogtepunt in mei 2017. Honderdduizenden computers raken besmet. De belangrijkste gedupeerden zijn Britse ziekenhuizen, Renault, Deutsche Bahn, Boeing, Telefonica en in Nederland de parkeergarages van Q-Park. Een nieuwe versie treft chipmaker TSMC in augustus 2018. De worm maakt gebruik van een gat in de beveiliging van Windows. De verspreiding stopt na een paar dagen, doordat een onderzoeker een soort noodknop in de code ontdekt. Noord-Korea wordt genoemd als dader.
- Petya: Juni 2017. Petya, ook wel NotPetya genoemd, verspreidt zich via automatische updates van een Oekraïens boekhoudprogramma. Oekraïne is het zwaarst getroffen, maar een containerterminal in Rotterdam ligt ook een tijd stil. De vraag is of Petya echt ransomware is: hij versleutelt bestanden, maar het is bijzonder moeilijk om losgeld te betalen en bestanden terug te krijgen. Mogelijk is het meer een sabotage-actie. De aanval wordt toegeschreven aan Russische hackers.
- Bad Rabbit: Oktober 2017. Treft bedrijven, instellingen en consumenten in Rusland, Oekraïne, Turkije en Duitsland. Slachtoffers zien een valse melding dat ze Adobe Flash moeten updaten. Als ze daarop klikken, installeren ze de ransomware.
- Grandcrab: Januari 2018. Honderdduizenden mensen en bedrijven worden getroffen. De gijzelsoftware verspreidt zich door sollicitatiemails met besmette bijlagen. De politie geeft een sleutel vrij waarmee slachtoffers de besmetting kunnen terugdraaien zonder losgeld te betalen. Daarna verschijnen betere versies van GandCrab. Daar zijn inmiddels nieuwe sleutels voor gemaakt.
