'Makers Petya-ransomware bespioneerden bedrijven maandenlang'

'Makers Petya-ransomware bespioneerden bedrijven maandenlang'

04-07-2017 13:38 Laatste update: 26-04-2018 19:45

Het Oekraïense bedrijf dat de Petya-ransomware verspreidde is gebruikt om andere bedrijven in de Oekraïne te bespioneren.

De criminelen konden maandenlang gevoelige informatie van meer dan 400.000 organisaties stelen. Dat blijkt uit onderzoek van het Slowaakse beveiligingsbedrijf ESET. Het bedrijf M.E.Doc, dat boekhoudsoftware aanbiedt, is volgens experts en de Oekraïense politie verantwoordelijk voor het verspreiden van Petya. 

"Deze software bevatte al drie maanden een achterdeur", zegt Dave Maasland, directeur van de Nederlandse tak van ESET. "De aanvallers hadden via deze achterdeur volledig toegang had tot de systemen van van M.E.Doc-gebruikers." 

Op die manier zouden de aanvallers onder andere wachtwoorden en interne communicatie kunnen ontvreemden. Het is onduidelijk of er ook Nederlandse bedrijven gebruikmaken van M.E.Doc. Het bedrijf is om een reactie gevraagd. De achterdeur is volgens ESET nog steeds aanwezig.

Zorgvuldig uitgekozen

Petya gijzelde vorige week tienduizenden computers wereldwijd. Meer dan 90 procent van de infecties vindt plaats in de Oekraïne, waardoor beveiligingsbedrijven van mening zijn dat de ransomware een gerichte cyberaanval op het land is. In Nederland werden onder andere koeriersdienst TNT Express, medicijnfabrikant MSD en de Rotterdamse APM-haventerminals getroffen door de ransomware.

"Doordat aanvallers drie maanden lang volledig toegang hebben gehad tot de netwerken van de getroffen bedrijven kan de schade van deze aanval nog veel verder oplopen", vertelt Maasland. Volgens hem konden de aanvallers precies kiezen welke bedrijven ze zouden gaan aanvallen. In Oekraïne zijn onder andere banken, de nationale telecomprovider en het vliegveld van Kiev besmet met het virus. De infecties bij klanten van M.E.Doc, zijn zorgvuldig uitgekozen, aldus Maasland.

Waren het de Russen?

De Oekraïense geheime dienst SBU wijst met de vinger naar Rusland. Voor zo'n conclusie vindt Maasland het nog te vroeg: "Alles wijst erop dat de aanvallers zeer uitgebreide middelen tot hun beschikking hadden en geraffineerd te werk zijn gegaan. Maar we hebben geen bewijs gevonden dat wijst naar Rusland."

Ondanks meerdere onafhankelijke onderzoeken ontkent het moederbedrijf van M.E.Doc, Intellect Service, te zijn gehackt of ook maar iets te maken te hebben met de verspreiding van Petya.