Bedrijven in verschillende landen zijn getroffen door een grootschalige nieuwe aanval met ransomware. Het gaat onder meer om een containeroverslagbedrijf in Rotterdam, maar ook allerlei Oekraïense firma's en het Russische oliebedrijf Rosneft.

Bij de aanval lijkt een nieuwe variant van de zogenoemde Petya-ransomware te worden gebruikt. Op foto's is te zien dat dezelfde melding in ieder geval wordt getoond op getroffen computers van het Oekraïense energiebedrijf Kyivenergo en het Rotterdamse APM Terminals.

De aanval lijkt te zijn begonnen in Oekraïne; daar zijn veel bedrijven in verschillende sectoren getroffen. Volgens de centrale bank van Oekraïne worden er ook cyberaanvallen gericht op meerdere commerciële banken uitgevoerd, via een "onbekend virus". De banken zouden moeite hebben met het verwerken van betaalverzoeken, meldt Reuters.

Rotterdam
In Rotterdam werd containerbedrijf APM Terminals getroffen, waardoor al het werk is stilgelegd. Ook moederbedrijf Maersk zegt te maken te hebben met een grootschalige cyberaanval.

maerskmeldingtwitter

 

Op foto's van de ransomwaremeldingen is te zien dat wordt gevraagd om een bedrag van 300 dollar om computers te ontgrendelen. Dit bedrag moet worden voldaan in bitcoin.

Ook de Russische oliegigant Rosneft en staalproducent Evraz zeggen doelwit te zijn van een cyberaanval. Daarnaast komen er veel meldingen van de ransomware uit India.

Een bron binnen het Oekraïense ministerie van Binnenlandse Zaken zegt tegen het persbureau dat het gaat om de grootste cyberaanval in de geschiedenis van het land.

WannaCry
De aanval met de Petya-ransomware, die ook wel bekendstaat als Petrwrap, doet denken aan de grote aanval met de ransomware WannaCry. Die trof vorige maand bedrijven in veel verschillende landen. Ook nu lijkt het virus zich razendsnel te verspreiden over de hele wereld.

Uit een melding op Virustotal, een database voor kwaadaardige software die door beveiligingsonderzoekers wordt gebruikt, blijkt dat de meeste antiviruspakketten de nieuwe variant van het Petya-virus niet herkennen.

Het virus maakt volgens beveiligingsbedrijf Avira misbruik van hetzelfde Windows-lek dat WannaCry in staat stelde om computers te infecteren. Microsoft heeft dit euvel verholpen met een update, maar computers die de update nog niet hebben ontvangen zijn nog altijd kwetsbaar.

Versleuteld
Petya was begin 2016 ook al actief, toen voornamelijk in Duitsland. Aanvallers verspreidden de ransomware toen vooral via e-mails met een link naar een malafide bestand. Na het openen van dat bestand startte de computer opnieuw op, en was de infectie voltooid.

Anders dan WannaCry versleutelt deze eerdere versie van Petya niet enkele bestanden of mappen, maar het hele bestandssysteem. Dat gebeurde wanneer de computer opnieuw werd opgestart, waarna het hele systeem op slot ging en Petya om een losgeldbetaling in bitcoin vroeg. Beveiligingsonderzoekers raadden daarom eerder aan om bij een Petya-infectie de computer niet te laten herstarten.

>> Wat doe je als je slachtoffer wordt van ransomware?
>> Hoe maak je automatische back-ups

>> NRC beantwoordt vier vragen over de aanval