'NotPetya-aanval was werk van Russisch leger'

Volgens het NCSC was de aanval vooral gericht op Oekraïne en verraadt de opzet een organisatie met ruime technische capaciteiten. De Britse cybersecurity-organisatie heeft veel vertrouwen in haar oordeel dat het Kremlin achter het offensief zat.

Geen ransomware

De malware was verstopt in software die vooral door de Oekraïense overheid, energiesector en financiële instellingen wordt gebruikt. Daarbij deed NotPetya zich voor als ransomware: bij betaling van een bedrag in Bitcoins zouden de gegijzelde data worden vrijgegeven. Tenminste, dat was de boodschap die de kwaadaardige software zijn slachtoffers voorschotelde.

Omdat de losgeldoptie niet was voorzien van een identificatiecode kon de afperser echter onmogelijk weten door wie er was betaald. Herstel van de versleutelde data bleek in de praktijk dan ook onmogelijk te zijn. De Britten oordelen daarom dat het de Russen erom te doen was het leven in Oekraïne te ontwrichten.

Ook Nederlandse slachtoffers

NotPetya verspreidde zich via lokale netwerken en niet via internet zoals de meeste malware. Dit heeft de verspreiding versneld en detectie bemoeilijkt. De malware heeft dan ook tot ver buiten Oekraïne slachtoffers gemaakt. Onder andere het Rotterdamse APM terminals werd getroffen, waardoor de werkzaamheden in de grote Nederlandse haven een tijdlang zijn onderbroken. De kosten van dataverlies en gevolgschade lopen wereldwijd in de miljarden.

NotPetya is gebaseerd op de EternalBlue- en EternalRomance-exploits die begin 2017 publiekelijk bekend zijn gemaakt door kwaadwillenden. Microsoft heeft voor beide kwetsbaarheden patches uitgebracht, maar die blijken ook maanden na het uitbrengen niet wijdverbreid te zijn toegepast.