Nieuwe gijzelsoftware SamSam treft ook Belgische bedrijven: “Ze gaan echt geraffineerd en zorgvuldig te werk”

Volgens Eddy Willems, beveiligingsexpert bij G-Data, lag de aanvallenpiek op Belgische bedrijven vlak na de zomer. “In september en oktober kwamen de meeste meldingen, nu lijkt het stilaan af te nemen”, zegt Willems.

SamSam werkt anders dan eerdere gijzelsoftware, zoals WannaCry en GandCrab. Die sloegen meteen na besmetting toe, vergrendelden bestanden en eisten losgeld. De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken.

Pas als dat is gebeurd, slaat SamSam toe en worden de bestanden vergrendeld. “Dit is een nieuwe trend. Ze gaan echt geraffineerd en zorgvuldig te werk, om de kans zo groot mogelijk te maken dat een slachtoffer geen andere optie heeft dan te betalen”, zegt de Nederlandse onderzoeker Frank Groenewegen van Fox-IT.

“Het probleem is dat nog altijd te weinig mensen investeren in een degelijk beveiligingssysteem”, stelt Willems. “De helft van de virusscanners is gewapend tegen ransomware, dus zorg dat je zo ééntje gebruikt. Maar in de praktijk blijven er nog mensen gokken door helemaal geen virusscanner te gebruiken, door de beveiliging niet te verlengen of door de scanner uit te schakelen. Daar profiteren dit soort criminelen dan altijd van.”

In de VS zijn minstens 200 organisaties inmiddels getroffen door SamSam. Daaronder zijn de gemeentes Atlanta en Newark, de haven van San Diego en zeker drie ziekenhuizen. Twee verdachten uit Iran zouden daar miljoenen aan hebben verdiend. De mannen van 34 en 27 jaar oud zijn nu aangeklaagd, maar nog voortvluchtig.