Tientallen Nederlandse bedrijven zijn de afgelopen maanden getroffen door een nieuwe vorm van ransomware, SamSam genoemd. En dat is waarschijnlijk nog maar het topje van de ijsberg, zegt cyberbeveiliger Fox-IT.
SamSam ransomware gaat op zoek naar Windows-server waarop het Remote Desktopprotocol (RDP) geactiveerd is. Dan probeert het binnen te komen door eenvoudige wachtwoorden te proberen.
De makers van SamSam kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken. En vervolgens worden de bestanden vergrendeld waaronder ook configuratiebestanden die nodig zijn om bijvoorbeeld Microsoft Office te draaien.
Verschillen
Daarin verschilt SamSam ook van andere varianten van ransomware, aldus Fox-IT. Ransomware zoals WannaCry en GandCrab sloegen meteen na besmetting toe, vergrendelden bestanden en eisten losgeld. Ook zijn de losgeldsommen bij SamSam hoger dan bij voorgaande ransomware-aanvallen. De makers van SamSam kijken met wat voor soort bedrijf ze te maken hebben en bepalen daarna de hoogte van het losgeld.
Het is niet bekend hoeveel financiële schade de software vooralsnog heeft aangericht in Nederland. Fox-IT mag geen namen van getroffen bedrijven noemen, maar zegt dat het gaat om zowel ondernemingen in het midden- en kleinbedrijf als om grotere bedrijven.