Betalen aan een crimineel: vijf lessen over gijzelingssoftware

De grote aanval met gijzelingssoftware gaat nog steeds door en infecteerde al meer dan 200 duizend computers en ruim tienduizend organisaties in 150 landen. De golf aan besmettingen legt een aantal hardnekkige pijnpunten bloot.

Getroffen door WannaCry: het station van Frankfurt am Main. Reizigers worden verwezen naar de papieren dienstregelingen. Beeld EPA

1 Cyberaanvallen ontwrichten de samenleving

Iedereen die het een keer overkomen is, weet wat een machteloos gevoel gijzelingssoftware, of ransomware in jargon, geeft. Je tuurt naar je scherm waarop staat dat je computer vergrendeld is. Je start de computer opnieuw op, in de hoop dat dat het probleem oplost. Helaas. Maar die presentatie voor werk? Of die scriptie waar je maanden aan hebt getikt, zonder ergens een kopie te hebben gemaakt? Je probeert dat venster weg te klikken. Niks werkt. Het virus houdt je computer 'gegijzeld'. De enige manier om het ding weer aan de praat te krijgen, is betalen aan de crimineel.

Klinkt dit nog steeds een beetje abstract? Dat is het niet. Gijzelingssoftware is een grote dreiging voor iedereen en kan de samenleving ontwrichten. Neem de ziekenhuizen in Groot-Brittannië die vrijdag getroffen werden door de ransomware WannaCry. Artsen konden niet bij bestanden over patiënten, want die waren 'versleuteld' door de ransomware. En zonder cruciale gegevens kunnen sommige operaties niet uitgevoerd worden. Of kunnen patiënten niet de juiste medicijnen krijgen. In extreme gevallen moeten patiënten het ziekenhuis uit.

In Nederland werden de systemen van sommige parkeergarages van Q-Park getroffen. Daardoor was betalen niet mogelijk en moest de toeslagboom handmatig geopend worden. Vervelend, maar tamelijk onschuldig. In Frankrijk werden fabrieken van Renault stilgelegd. In Rusland werd het systeem van Russian Railways geïnfecteerd. Het leverde geen verstoringen op, omdat het bedrijf naar eigen zeggen voldoende beschermd was tegen het virus. Maar het toont aan dat ransomware vitale infrastructuur van een land kan verstoren en platleggen. Dat besef dringt maar langzaam door.

Tekst gaat verder onder de video.

Dit is de vrouw die waakt over onze digitale veiligheid

Als er iemand in Nederland is die over de nationale digitale veiligheid waakt, is het Patricia Zorko, directeur Cybersecurity. Er is werk aan de winkel: de Nederlandse overheid zit vol met goede bedoelingen, maar geeft domweg veel te weinig geld uit aan cyberveiligheid.

2 Nederland is niet goed voorbereid

De nog steeds voortdurende aanval maakt duidelijk dat ook Nederland niet goed is voorbereid. Veel bedrijven moesten afgelopen weekend of zelfs maandag nog hun software updaten. Dan is eigenlijk te laat. Want als je software niet up-to-date is, kunnen aanvallers binnendringen in cruciale systemen.


Het virus dat nu toeslaat, maakt gebruik van een lek in het Windows-besturingssysteem. Dat probleem werd al in maart bekend. Microsoft, eigenaar van Windows, heeft toen een update beschikbaar gesteld om het probleem op te lossen. Nu blijkt dat veel organisaties die nog niet geïnstalleerd hadden. Vergelijk het met de toegang tot een kluis met bedrijfsgeheimen. Een bedrijf weet dat criminelen de code hebben, maar maakt weinig haast met het aanpassen van de code. Inbrekers hebben dan vrij spel.

Er is ook geen eenduidige aanpak en de adviezen zijn niet altijd helder. Zo adviseert het Nationaal Cybersecurity Center (NCSC) om geïnfecteerde laptops geen verbinding te laten maken met het interne netwerk. Bedrijfscomputers staan allemaal in verbinding met elkaar via dit interne netwerk. Het gevaarlijke van dit virus is hoe het zich verspreidt: eerst komt de malware bijvoorbeeld via een bijlage bij een e-mail binnen, daarna maakt het een zogeheten scan van het interne netwerk waardoor het kan zien welke apparaten verbonden zijn. Het virus infecteert automatisch ook die apparaten. Als duidelijk is dat één computer besmet is, is het dus al te laat. Het advies om geïnfecteerde laptops los te koppelen is als adviseren de waardevolle spullen uit je huis te halen ná een inbraak.

Het ontbreekt verder aan eenduidigheid over wat vitale infrastructuur is die extra beschermd moet worden bij dit soort aanvallen. Het NCSC hanteert een geheime lijst met instellingen die tot Nederlands vitale infrastructuur horen. Die krijgen extra advies en zitten aan tafel bij de geheime diensten. Naar verluidt staan er zo'n vijftig organisaties op. Maar de lijst is arbitrair. Zo staan de academische ziekenhuizen er wel op en de overige ziekenhuizen niet.

Getroffen door WannaCry: wachten bij de balie van het Dharmais-ziekenhuis in Jakarta, Indonesië. Beeld EPA

Dat Nederland niet harder is getroffen, lijkt vooralsnog puur geluk. De malware verspreidde zich geografisch: eerst delen in Azië en Rusland, later meer Europa. Het kan zijn dat de aanvallers reeksen ip-adressen, het unieke nummer dat toebehoort aan een internetaansluiting, afgaan en dat Nederland daar toevallig nog weinig in voorkwam. Want de hackers hebben de Nederlandse taalinstelling wel beschikbaar gemaakt in de malware.

3 Hackers gebruiken wapens van geheime diensten

Om binnen te dringen in computers, telefoons en andere apparaten, zoeken hackers van geheime diensten naar gaten in besturingssystemen. Die kwetsbaarheden zijn hun digitale wapens. Hoe grootschaliger te gebruiken, des te beter. De kwetsbaarheid in Windows, waardoor de aanvallers systemen konden binnendringen, is gecreëerd door hackers van de Amerikaanse inlichtingendienst NSA.

Alleen: als die wapens van geheime diensten in handen vallen van criminelen, zijn ze levensgevaarlijk. Dat is wat er nu is gebeurd. Het wapen van de NSA werd recentelijk door criminele hackers buitgemaakt en op internet gezet. Brad Smith, de baas van Microsoft, wil nu een debat over het werk van inlichtingendiensten, zegt hij in een verklaring. 'Herhaaldelijk zijn kwetsbaarheden die in handen van de overheid waren het publieke domein in gelekt en hebben ze grote schade veroorzaakt'. Vergeleken met conventionele wapens, zegt hij, 'zou dat hetzelfde zijn als wanneer het Amerikaanse leger een paar Tomahawk-raketten kwijt zou zijn.'

Ook grote technologiebedrijven zoals Google en Apple willen een stop op de verzameling van kwetsbaarheden door inlichtingendiensten. Niet iedere expert is het daar mee eens. Zo zegt Ronald Prins van beveiligingsbedrijf Fox-IT dat de politie ook weleens een pistool is kwijtgeraakt aan criminelen. 'Dat is nog geen reden om de politie geen wapens meer te geven.'

In Nederland mogen de geheime diensten ook hacken, en de politie straks ook. Daarvoor zoeken zij ook naar zwakheden in software, of kopen ze die aan. Elke dienst wil zijn eigen digitale wapens hebben. De afspraak is wel dat als de AIVD of de politie een kwetsbaarheid heeft die de onveiligheid van veel gebruikers raakt, zij daar publiekelijk voor waarschuwen. De vraag is hoe hard die afspraak is. Onlangs constateerde de toezichthouder voor de geheime diensten nog serieuze tekortkomingen in de omgang met dit soort kwetsbaarheden.

4 De dreiging komt niet altijd uit Rusland

Het is bijna een cliché: als er een digitale dreiging is, zal deze wel uit Rusland komen. Dat klopt ook vaak. Driekwart van de gijzelingssoftware wereldwijd komt volgens een recent onderzoek van Kaspersky Lab uit Rusland. En niet voor niets waarschuwde zowel de AIVD als de militaire veiligheidsdienst MIVD onlangs voor de digitale dreiging vanuit Rusland.

Toch is dat niet het hele verhaal. Het is nog onduidelijk waar de criminelen die achter deze aanval zitten vandaan komen. Van deze ransomware zou je kunnen zeggen dat hij indirect uit de VS komt, omdat het lek waar het virus gebruikt van maakt door de Amerikaase NSA werd gecreëerd. En de NSA is niet de enige dienst die dit soort zwakheden zoekt. Westerse diensten, zoals de Britten en de Israëliërs, zijn daarin doorgaans bekwamer zijn dan bijvoorbeeld de Russen.

Bovendien werd Rusland zelf zwaar getroffen door deze aanval. In de eerste uren was 70 procent van de getroffen organisaties Russisch. Dat past meestal niet bij malware van Russische makelij; die ontziet vaak Rusissche burgers en bedrijven.

5 Criminele hackers worden steeds machtiger

Zijn bestanden versleuteld, dan vragen de aanvallers 300 dollar. Betaalt een slachtoffer niet, dan verdubbelt dat bedrag naar 600 dollar. Betaalt iemand dan nog niet, dan worden bestanden voor altijd ontoegankelijk gemaakt. Slachtoffers zien een klok in beeld die aftelt naar de volgende deadline.

Dit soort lage bedragen heeft een functie: mensen zijn daardoor snel geneigd geld over te maken. De aanvallers hadden maandagmiddag ruim 50.000 dollar opgehaald. Het is nog steeds een relatief klein bedrag, maar het is ook een investering in de ontwikkeling van nieuwe malware. Jaya Baloo, verantwoordelijk voor de digitale beveiliging van telecombedrijf KPN, vreest dat we niet opgewassen zijn tegen de evolutie van dit soort malware. De belangrijkste reden: 'We zijn alles met elkaar gaan verbinden. Computers, telefoons, huishoudelijke apparaten. In een nieuwe omgeving maken dat soort apparaten automatisch een connectie met een netwerk. Daardoor gaat de verspreiding van malware razendsnel.'

Lees verder

Dit is de vrouw die waakt over onze digitale veiligheid

Als er iemand in Nederland is die over de nationale digitale veiligheid waakt, is het Patricia Zorko, directeur Cybersecurity. Er is werk aan de winkel: de Nederlandse overheid zit vol met goede bedoelingen, maar geeft domweg veel te weinig geld uit aan cyberveiligheid. (+)

Zes vragen over grootste aanval van gijzelsoftware ooit: 'Wees altijd achterdochtig'

Nog nooit verspreidde ransomware (software die een computer vergrendelt) zich zo snel over de wereld als WannaCry. Wat kunt u ertegen doen? Zes vragen over WannaCry.

Nieuwe variant ransomware duikt op, zónder noodknop - Europol waarschuwt voor nieuwe uitbraken

Kwaadaardige software wist zich dit weekeinde razendsnel meester te maken van computers in de hele wereld. Experts spreken van de heftigste cyberaanval ooit.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden