'Beveiligingspleister' Microsoft niet genoeg: 1.200 servers besmet
Op 2 maart maakte Microsoft bekend dat Microsoft Exchange, de basissoftware achter de mailsystemen van bedrijven en organisaties, kwetsbaar was voor hackers. Volgens de Amerikaanse techgigant werden de fouten in Exchange in eerste instantie misbruikt door hackers in dienst van de Chinese overheid. De eerste gijzelsoftware die zich specifiek op deze zwakheden richt, is inmiddels opgedoken.
Hoewel Microsoft tegelijkertijd een noodupdate de wereld instuurde, zijn de problemen nog niet verholpen. Uit scans van advies- en accountantskantoor PwC blijkt dat wereldwijd zo’n 900 organisaties nog steeds last hebben van malware, ondanks de installatie van de update.
Bedrijven die uit de scan naar voren komen worden door PwC gewaarschuwd. Het Nationaal Cyber Security Centrum (NCSC) concludeerde zelfs dat er in Nederland minimaal 1.200 servers vatbaar zijn voor een lek in Exchange, en gaat ervan uit dat deze ook vrijwel zeker zijn besmet.
Cloud wel veilig
Het is hierbij opvallend dat de slachtoffers van het lek veelal tot twee uitersten behoren. Enerzijds gaat het om kleine bedrijven die weinig tijd besteden aan IT, anderzijds juist om gezaghebbende instanties met gevoelige data, zoals het Noorse parlement en de Europese Bankenautoriteit. Bedrijven daartussenin ontlopen de hackers omdat ze eerder al overstapten naar de cloud van Microsoft – dit systeem blijkt niet getroffen door de problemen.
Volgens PwC-partner Gerwin Naber bewijzen de zwakheden van het systeem dat het voor veel bedrijven handiger is om hun data in de cloud te zetten. “Je hebt weliswaar minder controle, maar als er wat aan de hand is, hoef je het ook niet zelf op te lossen. Voor deze meeste bedrijven is dat het veiligste.”
“De time-to-ransom kan enkele dagen of weken bedragen.”
Dearcry
Bedrijven die nog steeds gebruikmaken van de kwetsbare software van Microsoft dienen haast te maken met het verbeteren van hun ICT-systemen. De eerste gijzelsoftware die zich specifiek richt op de fouten van Exchange gaat sinds kort namelijk de wereld rond en draagt de naam ‘Dearcry’. Hackers gebruiken dergelijke malware om bestanden te ‘gijzelen’, waarna bedrijven losgeld moeten betalen om weer toegang te krijgen tot hun eigen data.
Volgens Frank Groenewegen, expert op het gebied van cyberveiligheid en partner bij Deloitte, vormt een dergelijke ransom-aanval een groot risico omdat het hele bedrijf platgaat. “De ‘time-to-ransom’ kan enkele dagen of weken bedragen, maar soms ook een paar uur. Het hangt af van de complexiteit van het netwerk en het niveau van de hackers.”
Groenewegen vermoedt dat de malware vrij snel in elkaar gesleuteld is. Criminelen moeten het versleutelen van bestanden nu nog handmatig activeren, maar de kans is groot dat dit bij volgende versies geautomatiseerd wordt. Ook de naam voorspelt volgens de Deloitte-partner niet veel goeds, waarbij hij verwijst naar ‘WannaCry’ – gijzelsoftware die in het verleden wereldwijd meer dan 230.000 computers in 150 landen op slot wist te zetten.
