‘Aanvallers Petya-ransomware hadden al maanden toegang tot systemen M.E. Docs’

De aanval van de Petya-ransomware is waarschijnlijk nog volop aan de gang. Dat maakt de kans groot dat huidige gebruikers van het financiële softwarepakket M.E. Docs nog steeds zijn gehackt, constateren onderzoekers van IT-beveiliger ESET. Bovendien hebben de experts ontdekt dat de cyberaanvallers minstens drie maanden lang volledige toegang hebben gehad tot de systemen van M.E. Doc-gebruikers. ESET gaat er inmiddels ook van uit dat de infecties bij gebruikers van M.E. Docs zorgvuldig zijn gekozen.

Voor de aanval met de Petya-ransomware is een ‘achterdeur’ in de M.E. Doc-software gebruikt. ESET heeft ontdekt dat deze ingang in elk geval drie maanden in de software aanwezig is geweest, zodat de aanvallers al die tijd in staat waren om op afstand de controle van geïnfecteerde systemen volledig over te nemen. Zo konden ze bijvoorbeeld wachtwoorden stelen en andere commando’s uitvoeren. De aanvallers konden afzonderlijk bepalen welke actie ze bij het betreffende bedrijf wilden ondernemen. Het identificeren van individuele bedrijven gebeurde door het gebruik van unieke klantnummers van M.E. Docs. Waarschijnlijk hadden de aanvallers toegang tot de broncode van de M.E. Doc-software.

Dave Maasland (foto), directeur ESET Nederland: “De bedrijven die zijn geïnfecteerd, zijn waarschijnlijk zorgvuldig uitgekozen. Aangezien de aanvallers drie maanden volledige toegang tot de netwerken hadden, kan de schade bij getroffen bedrijven nog veel verder oplopen. Momenteel is het nog niet met zekerheid te zeggen wat de aanvallers allemaal hebben buitgemaakt. Ook niet in Nederland. Dat kan echt van alles zijn.”