De nieuwe gijzelsoftware SamSam houdt niet alleen huis in de VS. Volgens de Nederlandse IT-beveiliger Fox IT treft de opvolger van ransomware als WannaCry en Petya nu ook Nederland. Tientallen bedrijven zouden de afgelopen maanden al zijn getroffen.
Deze nieuwe vorm van gijzelsoftware brengt eerst ongemerkt flinke beschadigingen aan in de backups van een bedrijf of instelling. Daarna pas slaan ze toe. Hoeveel financiële schade de software inmiddels heeft aangericht is nog niet bekend.
IJsberg
Wel is duidelijk dat het aantal getroffen bedrijven en het bedrag dat daarmee is gemoeid waarschijnlijk het topje van de ijsberg zal zijn. Onbekend is namelijk hoeveel mensen de gijzeling op een andere manier hebben opgelost. De een kan het losgeld betaald hebben. De ander zou de besmetting zelf misschien kunnen oplossen en er verder geen melding van maken.
Fox-IT mag geen namen van getroffen bedrijven noemen. Het zou in elk geval gaan om zowel ondernemingen in het midden- en kleinbedrijf als om grotere bedrijven. De gijzelsoftware houdt in de rest van de wereld al zeker anderhalf jaar huis. Vooral ziekenhuizen, scholen en universiteiten worden getroffen.
Daarbij worden voornamelijk RDP-protocollen voor werken vanuit huis en zwakke wachtwoorden gebruikt om binnen te komen. V olgens de onderzoekers moeten eigenlijk alle bedrijven en instellingen die hun ict-zaken niet goed op orde hebben, vrezen voor SamSam.
Werkwijze
Hoeveel bedrijven al wel besmet zijn maar dat zelf nog niet weten is ook niet duidelijk. Dat komt door de werkwijze van SamSam, anders is dan die van varianten als WannaCry en GandCrab. Deze oudere vormen van gijzelsoftware sloegen meteen na besmetting toe, Bestanden werden meteen vergrendeld en het losgeld direct opgeëist.
De makers van SamSam wachten eerst een tijd af. Ze kijken eerst waar ze in het systeem precies zijn binnengekomen en of ze dieper kunnen doordringen, om meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken.
Pas als dat is gebeurd, slaat SamSam toe en worden de bestanden vergrendeld. Doordat computersystemen gericht worden gegijzeld, kunnen de makers een hoger losgeld eisen dan bij andere besmettingen. Volgens de Nederlandse beveiliger weten de aanvallers soms zelfs hoeveel geld een bedrijf op de rekening heeft staan.
Deze ransomware-variant bepaalt dus ook per geval de hoogte van het losgeld. Dat betekent gelijkertijd ook dat bedrijven met weinig geld weinig last zullen hebben. Mocht een systeem ongemerkt zijn geïnfecteerd met SamSam en de aanvallers ontdekken dat een bedrijf weinig te besteden heeft, zullen ze vertrekken.
Daar tegenover staan de hoge bedragen als er wel losgeld wordt geëist. De beveiliger maakt melding van bedragen die beginnen bij tienduizenden euro’s. Dit kan oplopen tot enkele tonnen. Deze bedragen moeten in bitcoins betaald worden. Dit is aanzienlijk hoger dan bij oudere gijzelsoftware. Daarbij ging het vaak om enkele honderden euro’s.
Sommige gedupeerden konden door geluk terugvallen op een oude back-up of op een reservesysteem waar de aanvallers niet bij konden komen. Anderen weigerden uit principe te betalen. Maar er zijn ook bedrijven die geen andere optie zagen dan het losgeld te betalen.
Verdachten
Twee mannen uit Iran zijn in de Verenigde Staten inmiddels aangeklaagd,. Ze zouden sinds 2015 betrokken zijn bij het maken en verspreiden van SamSam. Het gaat om mannen van 34 en 27 jaar. Ze zijn allebei voortvluchtig.
In de VS zijn minstens tweehonderd organisaties getroffen door SamSam. Daaronder zijn de gemeentes Atlanta en Newark, de haven van San Diego en zeker drie ziekenhuizen. De twee verdachten zouden daar miljoenen aan hebben verdiend.