Volledig scherm
© ANP XTRA

Nieuwe gijzelsoft­wa­re maakt slachtof­fers in Nederland

Gijzelsoftware Anatova heeft volgens cyberbeveiliger McAfee de eerste slachtoffers in Nederland gemaakt. Anatova versleutelt bestanden op een systeem en wil ze pas weer vrijgeven na betaling van losgeld. Verreweg de meeste slachtoffers zijn volgens McAfee tot nu toe gevonden in de Verenigde Staten, België, Duitsland en Frankrijk.

Anatova doet zich voor als een game of een applicatie en probeert mensen te verleiden om deze te downloaden. Als een systeem besmet is, eist Anatova een losgeld in virtueel geld, om precies te zijn 10 DASH. Dat is omgerekend meer dan 600 euro. 

Volledig scherm
Anatova © STF

Volgens beveiliger McAfee zijn er minstens tien slachtoffers gevallen in Nederland. In de VS zijn dat er meer dan honderd. Mensen die het bestand installeren op hun computer, krijgen een waarschuwing dat al hun bestanden versleuteld zijn. ,,Probeer ons niet te naaien. Je zal nooit je bestanden terugkrijgen. Niets persoonlijks, dit zijn gewoon zaken’’, aldus de hackers. 

Kenners adviseren om absoluut geen willekeurige bestanden te downloaden op het internet. Blijf altijd bij de bron, luidt het advies.

Onderzoekers van McAfee geloven dat Anatova alles in zich heeft om veel schade aan te richten. De software is klein en krachtig en de makers ervan lijken veel kennis in huis te hebben. Anatova lijkt zo ontworpen dat deze later kan worden uitgebreid. Bovendien proberen de makers te voorkomen dat beveiligers en de politie een 'ontgijzelaar' kunnen maken, waarmee mensen de besmetting kunnen terugdraaien zonder losgeld te betalen.

Anatova is zo gemaakt dat de software niet werkt in de voormalige Sovjet-Unie. Dat kan betekenen dat de makers daar vandaan komen, zegt McAfee. Ook in Syrië, Egypte, Marokko, Irak en India blijkt de ransomware geen slachtoffers te kunnen maken.

Anatova is opvolger van SamSam en WannaCry

Anatova is niet de eerste software die computersystemen gijzelt en losgeld eist. Een overzicht van eerdere ransomware-aanvallen:

- WANNACRY - Hoogtepunt in mei 2017. Honderdduizenden computers raken besmet. De belangrijkste gedupeerden zijn Britse ziekenhuizen, Renault, Deutsche Bahn, Boeing, Telefonica en in Nederland de parkeergarages van Q-Park. Een nieuwe versie treft chipmaker TSMC in augustus 2018. De worm maakt gebruik van een gat in de beveiliging van Windows. De verspreiding stopt na een paar dagen, omdat een onderzoeker een soort noodknop in de code ontdekt. Noord-Korea wordt genoemd als dader.

- PETYA: Juni 2017. Petya, ook wel NotPetya genoemd, verspreidt zich via automatische updates van een Oekraïens boekhoudprogramma. Oekraïne is het zwaarst getroffen, maar een containerterminal in Rotterdam ligt ook een tijd stil. De vraag is of Petya echt ransomware is: hij versleutelt bestanden, maar het is bijzonder moeilijk om losgeld te betalen en bestanden terug te krijgen. Mogelijk is het meer een sabotage-actie. De aanval wordt toegeschreven aan Russische hackers.

- BAD RABBIT: Oktober 2017. Treft bedrijven, instellingen en consumenten in Rusland, Oekraïne, Turkije en Duitsland. Slachtoffers zien een valse melding dat ze Adobe Flash moeten updaten. Als ze daarop klikken, installeren ze de ransomware.

- GANDCRAB: Januari 2018. Honderdduizenden mensen en bedrijven worden getroffen. De gijzelsoftware verspreidt zich door sollicitatiemails met besmette bijlagen. De politie geeft een sleutel vrij waarmee slachtoffers de besmetting kunnen terugdraaien zonder losgeld te betalen. Daarna verschijnen betere versies van GandCrab. Daar zijn inmiddels nieuwe ontgijzelaars voor gemaakt.