Security (b)log: Popcorn

Op dinsdagmiddag 27 juni bereikten mij via Twitter de eerste berichten over massale ransomware-aanvallen in Oekraïne. Banken, elektriciteitsbedrijven, staatsbedrijven en de metro en het vliegveld van Kiev lagen plat. Vicepremier Rozenko stuurde via Facebook een screendump de wereld in waarop te zien was hoe CHKDSK (voor de jongeren: dat is een overblijfsel uit het tijdperk van MS-DOS – een vroege, karaktergeoriënteerde versie van Windows) trachtte de C:-schijf te herstellen.

Diezelfde middag werden de containerterminals van APM (een dochter van het Deense Maersk) in Rotterdam en elders ter wereld het slachtoffer van dezelfde ransomware-uitbraak. Ook organisaties in Rusland, India, Spanje, Frankrijk en eigenlijk de rest van de wereld hadden daar diezelfde middag last van. Een ware olievlek.

Het fascinerende aan deze uitbraak was dat hij op klaarlichte dag plaatsvond en daardoor goed te volgen was. Popcorn erbij, dat idee. Je zag hoe de analisten koortsachtig werkten om te achterhalen wat er toch aan de hand was en – belangrijker – hoe je ervoor kon zorgen dat je geen slachtoffer werd. Je zag dat er conclusies werden getrokken die achteraf voorbarig bleken te zijn. Zo werd op een bepaald moment geroepen dat de ransomware sterke overeenkomsten vertoonde met de Petya-ransomwarefamilie uit 2016. Later op de dag kwam het bericht dat er toch grote verschillen met Petya waren. Vanaf dat moment gingen de meeste tweets over de uitbraak vergezeld van twee hashtags: #petya en #notpetya. Best wel een koddig gezicht.

Later ontdekten de analisten dat de besmettingsbron waarschijnlijk het updatemechanisme van het boekhoud- annex belastingpakket M.E.Doc was. Iedereen die zaken in of met Oekraïne doet, schijnt verplicht te zijn om één van de twee goedgekeurde fiscale boekhoudprogramma’s te gebruiken. Dat verklaart de ligging van het epicentrum van de uitbraak. Getroffen bedrijven in andere landen zijn naar verluidt bedrijven die zaken doen met Oekraïne.

Intussen werd ook druk gespeculeerd over het doel van de malware. Er werd driehonderd dollar losgeld geëist en dat is vrij goedkoop. Dat voedde speculaties dat het misschien helemaal niet om het geld te doen was, maar om ontwrichting van Oekraïense bedrijven of misschien wel van de hele samenleving. En daar zou dan Rusland achter zitten. Die twee landen waren sowieso al verwikkeld in een cyberwar en het gebeurde op de dag vóór de Oekraïense dag van de constitutie, een symbolisch moment dus. Dat daarnaast zoveel andere landen werden getroffen duidt er volgens sommigen op dat de aanval uit de hand is gelopen.

De WannaCry-uitbraak in mei kon worden gestopt doordat er een killswitch aanwezig was, maar dat bleek nu niet het geval te zijn. Wel werd al vrij snel het e-mailadres geblokkeerd waarmee je contact moest opnemen over de betaling. Maar de schade kon sowieso niet ongedaan gemaakt worden, zo bleek uit onderzoek. Ook werd bekend dat je je computer kon ‘vaccineren’ door een read-only bestand met de naam perfc.dat in C:\Windows aan te maken. En als je je computer had uitgezet toen dat CHKDSK-scherm werd getoond, dan kon je hem weer aan de praat krijgen met behulp van een boot-CD (LiveCD). Op dat punt waren er namelijk nog helemaal geen bestanden versleuteld.

De uitbraak heeft nogal wat economische schade veroorzaakt. De containerterminals in Rotterdam liggen al voor de vierde dag plat en sommige reders zoeken inmiddels andere havens voor hun schepen. In Oekraïne konden veel mensen niet bij hun geld omdat hun bank plat lag. Niet dat ze veel hadden gekund met hun geld, want in supermarkten gingen de kassa’s op zwart. Het systeem waarmee de straling in Tsjernobyl (kernramp 1986) wordt gemonitord werd ook getroffen. Dat zijn maar een paar voorbeelden, er is nog veel meer schade aangericht.

Onze eigen organisatie had diezelfde middag te kampen met een forse storing. Dat bleek echter niets met de ransomware-aanval te maken te hebben. Door één kapot onderdeel werden nogal wat systemen onderuitgehaald. Had niet mogen gebeuren, kon eigenlijk ook helemaal niet gebeuren, is toch gebeurd en wordt uiteraard tot op de bodem uitgezocht. Maar het was dus geen beveiligingsincident. Deze keer dan.

De volgende keer klopt ransomware misschien ook bij jou aan. De belangrijkste maatregelen die je kunt treffen zijn backuppen en updaten. De kans dat dit je beschermt is groter dan de kans dat een software-update voor ellende zorgt, zoals deze week wél het geval was. En o ja, gebruik geen beheerdersaccount voor gewoon computergebruik. Ook thuis niet.