'Hek erom en virus elimineren'

Het computervirus dat zo'n 30 instanties trof, lijkt onder controle. Maar welk virus is het en hoe kon het zijn gang gaan?

Wat doet Dorifel?

Dorifel verandert Microsoft Officebestanden met de extensies.doc(x) en .xls(x), maar dat is aan de naam niet te zien. Opent een gebruiker één van deze bestanden, dan slaat het virus toe. Een criminele hacker kan Dorifel uiteindelijk gebruiken om controle te krijgen over de computer en daarmee bijvoorbeeld toegang tot bankgegevens. Het Dorifel-virus is gemakkelijk te herkennen omdat het sporen achterlaat. Is er achter de Office-bestanden de extensie .scr (screensaver) toegevoegd, dan is de computer besmet.


Hoe komt Dorifel op de computers terecht?

De besmette computers zijn in een eerder stadium geïnfecteerd door een virus genaamd Citadel/Zeus dat zich via een botnet verspreidt. Een botnet is een netwerk van geïnfecteerde computers, die onder het beheer staan van een hacker zonder dat de eigenaars dat weten. Dit botnet gaf de computers opdracht Dorifel binnen te halen. Hoe lang dit botnet al actief was, is onbekend.


'Dat is het zorgelijke,' zegt Ronald Prins, directeur van beveiligingsbedrijf Fox-IT. 'We weten niet wat de hackers de afgelopen tijd nog meer bemachtigd hebben. Dat kunnen wachtwoorden zijn, of andere waardevolle gegevens.'


Volgens Prins is Citadel/Zeus zeker niet het enige botnet dat Nederlandse computers heeft 'gegijzeld'. In 2011 wees onderzoek van de TU Delft uit dat tussen januari 2009 en de zomer van 2010 waarschijnlijk tussen de 450 duizend en 900 duizend computers deel uitmaakten van een botnet.


Wat is de schade die Dorifel heeft toegebracht?

Dat is nog onduidelijk. Ten eerste omdat nog niet bekend is hoe wijd het Dorifel-virus is verspreid. Volgens het Nationaal Cyber Security Center (NSCS) is het virus onder controle. Vrijdag kwamen er geen meldingen meer binnen. Er zouden 3.000 netwerken besmet zijn, die vaak uit meerdere computers bestaan.


Prins van Fox-IT houdt het op 3.000 computers, andere experts spreken van tienduizenden computers. De beschadigde documenten kunnen met virusscans worden hersteld, maar omdat sommige bedrijven en overheden het werk moesten stilleggen, is er zeker sprake van financiële schade.


Wat is er speciaal aan het botnet van Citadel/Zeus en het Dorifel-virus?

Dergelijke virussen zijn niet uitzonderlijk in Nederland, maar omdat veel overheden werden getroffen genereerden ze veel aandacht. 'Terecht werden direct alle computernetwerken stilgelegd', is de mening van Huub Roem van beveiligingsbedrijf Digital Investigation. 'Dan kun je er een hek om heen zetten en het virus elimineren.'


Door het platleggen werd de gemeentelijke dienstverlening belemmerd en dat valt op.


Wie zit er achter de virussen?

Het is nog onduidelijk wie verantwoordelijk is voor het virus, de command and controlserver - de server waar vandaan het botnet wordt bestuurd - staat hoogstwaarschijnlijk in Oekraïne en wordt bestuurd door een criminele organisatie. Het Dorifel-virus is waarschijnlijk bedoeld om het botnet van Citadel/Zeus uit te breiden.


Hoe kunnen we ons wapenen tegen deze virussen?

Ronald Prins van Fox-IT opperde om 'terug te hacken', zijn bedrijf is in staat de command and controlserver plat te leggen waardoor het virusprobleem direct is opgelost. Volgens een woordvoerder van het NCSC kan dit tot rare situaties leiden: 'Dan kunnen vanuit het buitenland ook Nederlandse servers worden platgelegd.'


Ook Erik Remmelzwaal van IT-beveiligingsbedrijf Medusoft vindt deze oplossing te kort door de bocht. 'De eigenaar van een server die kwaadaardig verdrag vertoont, hoeft nog niet de verantwoordelijke te zijn. Die server, van bijvoorbeeld een gasbedrijf, kan ook gehackt zijn. Het platleggen van een server van zo'n bedrijf kan catastrofale gevolgen hebben.'


Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden