Artikel overgenomen van: nu.nl (2-12-2018)

Tientallen Nederlandse bedrijven zijn de afgelopen maanden getroffen door gijzelsoftware. Het gaat om een uitbraak van SamSam, een geraffineerde vorm van ransomware. Het gevraagde losgeld kan oplopen tot enkele tonnen.

Tientallen ondernemingen zijn daardoor getroffen, zegt cyberbeveiliger Fox-IT tegen persbureau ANP, maar dat is waarschijnlijk nog maar het topje van de ijsberg. Het bedrijf weet namelijk niet hoeveel mensen de gijzeling op een andere manier hebben opgelost, bijvoorbeeld door losgeld te betalen of door de besmetting zelf op te lossen.

Het is niet bekend hoeveel financiële schade SamSam in Nederland heeft aangericht. Fox-IT mag geen namen van getroffen bedrijven noemen, maar zegt dat het gaat om zowel ondernemingen in het midden- en kleinbedrijf als om grotere bedrijven.

Fox-IT weet ook niet hoeveel bedrijven al besmet zijn maar dat zelf nog niet weten. In tegenstelling tot eerdere aanvallen met gijzelsoftware, zoals WannaCry and GandCrab, slaan de hackers niet meteen toe. Ze doen eerst goed onderzoek naar het slachtoffer. Pas daarna vergrendelen ze bestanden en eisen ze losgeld.

Hoe werkt SamSam?
De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken.

Pas als dat is gebeurd, slaat SamSam toe en worden de bestanden vergrendeld. "Dit is een nieuwe trend. Ze gaan echt geraffineerd en zorgvuldig te werk, om de kans zo groot mogelijk te maken dat een slachtoffer geen andere optie heeft dan te betalen", zegt onderzoeker Frank Groenewegen van Fox-IT.

Doordat computersystemen gericht worden gegijzeld, kunnen de makers een hoger losgeld eisen dan bij andere besmettingen. Groenewegen: "Soms weten ze zelfs hoeveel geld een bedrijf op de rekening heeft staan. Die informatie kunnen ze gebruiken om de hoogte van het losgeld te bepalen. Bedrijven die niet genoeg geld hebben, gaan ze niet lastigvallen. Die zijn de moeite niet waard, dan gaan ze weg."

Betaling in bitcoins
Het losgeld begint vaak bij tienduizenden euro's en kan oplopen tot enkele tonnen. Dat moet in bitcoins of andere cryptovaluta betaald worden. Bij eerdere gijzelsoftware ging het om enkele honderden euro's losgeld.

Sommige gedupeerden konden door geluk terugvallen op een oude back-up of op een reservesysteem waar de aanvallers niet bij konden komen. Anderen weigerden uit principe te betalen. Er zijn echter ook bedrijven die geen andere optie zagen dan het losgeld te betalen.

In 2017 werden tienduizenden computers in bijna honderd landen getroffen door de gijzelsoftware WannaCry. De belangrijkste gedupeerden zijn Britse ziekenhuizen, Renault, Deutsche Bahn, Boeing, Telefonica en in Nederland de parkeergarages van Q-Park. Een nieuwe versie treft chipmaker TSMC in augustus 2018. De worm maakt gebruik van een gat in de beveiliging van Windows. De verspreiding stopt na een paar dagen, doordat een onderzoeker een soort noodknop in de code ontdekt. Noord-Korea wordt genoemd als dader.