We horen of lezen tegenwoordig bijna wekelijks wel iets over cyberaanvallen op overheden en (nationale) instanties, maar veel mensen weten niet dat cyberaanvallen van alle tijden zijn. Lees hieronder hoe ransomware “NotPetya” al in juni 2017 een pad van destructie achterliet en wereldwijd zorgde voor schade van naar schatting 10 miljard euro.
In juni 2017 op een kantoor in Oekraïne, werd bij een bedrijf midden in de nacht malware geïnstalleerd zonder menselijke interventie. Medewerkers van dit bedrijf hadden de dag erna, bij de start van hun werkdag in eerste instantie niets door. Totdat alle computers opnieuw opstartte en het ransomwareprogramma 300-dollar aan Bitcoin per computer vroeg. Aan het eind van de dag was bijna heel het leven in Oekraïne platgelegd. Mensen hadden bijvoorbeeld problemen met tanken, systemen in ziekenhuizen lagen plat, geld pinnen was een probleem en de post kon niet meer worden bezorgd. In de dagen die volgde werd wereldwijd elk bedrijf met een kantoor in Oekraïne (deels) platgelegd.
Hoe en waarom kon dit gebeuren?
Beveilingsexperts zeggen dat “het vrijwel zeker is” dat de (GRU) Russische geheime dienst verantwoordelijk is voor de aanval. Details over specifiek bewijs werden niet direct bekendgemaakt. Er werd gebruik gemaakt van een destructieve worm, dit is een type malware die zich blijft verspreiden. Door een kwetsbaarheid in Microsoft Windows te misbruiken kon de worm actief worden. Veel bedrijven hadden deze specifieke kwetsbaarheid nog niet gepatcht, waardoor de systemen kwetsbaar bleven. De malware is binnengekomen via een software (M.E.Doc) die gebruikt wordt voor accounting en veel gebruikt werd binnen de Oekraïense overheid. De software had nauwelijks beveiligingseisen ingebouwd waardoor deze makkelijk misbruikt kon worden om de malware naar binnen te brengen.
Had dit voorkomen kunnen worden?
Ja, maar tot 2017 waren er nog geen desastreuze cyberattacks geweest van dit kaliber. In het geval van NotPetya waren er wel een aantal cruciale factoren die de impact en de grootte hadden kunnen beperken, deze zijn:
- Patchmanagement: door systemen waarvan kwetsbaarheden bekend zijn tijdig te patchen kunnen deze kwetsbaarheden niet worden misbruikt. In dit geval was de kwetsbaarheid al bekend en een patch (oplossing) gepubliceerd.
- Leveranciersmanagement: Er bestonden serieuze tekortkomingen bij softwareleveranciers. Dit had voorkomen kunnen worden door aan leveranciers beveiligingseisen te stellen over de te leveren software.
- Email security: bepaalde systemen waren geïnfecteerd door NotPetya die via e-mail is binnengekomen. Het is dan ook belangrijk dat organisaties niet alleen actief bijlages scannen op malware maar ook dat medewerkers opgeleid worden om phishingmails te herkennen, te rapporteren en niet zomaar bijlages te openen.
- Back-up en restore mogelijkheden: Bij een incident zoals NotPetya is het belangrijk dat organisaties eerder gemaakte back-ups kunnen herstellen en de organisatie weer up-and-running te krijgen. Organisaties zouden dan ook tijdig back-ups moeten maken en deze onafhankelijk moeten opslaan op een omgeving die niet zomaar te bereiken is.
NotPetya was eigenlijk geen ransomware, het was malware die zich voordeed als ransomware en het hoofddoel was om daadwerkelijk data te vernietigen. De daders hadden dus nooit de intensie de data weer vrij te geven aan de slachtoffers. In het geval van Ransomware is het vrijgeven van data vaak een optie, mits er door het slachtoffer betaald wordt. NotPetya wordt daarom ook meer gezien als “wiper-malware”. Het motief van de aanval lag vooral in het geopolitieke spectrum met als hoofddoel de kritieke infrastructuur van Oekraïne plat te leggen.
Cyber Security heeft in het huidige tijdperk zeker ook een geopolitieke rol, het kan landen ondermijnen of ontwrichten. Tijdens de NAVO-Top, afgelopen zomer is hier dan ook sterk rekening mee gehouden. Ben je nieuwsgierig geraakt over cyberveiligheid op internationaal gebied? Lees dan ook ons artikel over cyberveiligheid tijdens de NAVO-top.
