"Amper 65.000 dollar vergaard": waarom de cyberaanval een amateuristisch boeltje was

De hackers achter de cyberaanval van afgelopen weekend hebben tot nog toe amper 65.000 dollar vergaard. "Opvallend weinig in vergelijking met de schade die ze hebben berokkend", zegt ethisch hacker Inti De Ceukelaire. Dat de hackers in opdracht van Noord-Korea zouden gewerkt hebben, lijkt hem allerminst zeker. Daarvoor zijn er te veel beginnersfouten gemaakt. Een analyse die ook andere experten delen.

Het WannaCry-virus veroorzaakte afgelopen weekend wereldwijd enorme schade. Meer dan 200.000 bedrijven of particulieren in zowat 150 landen werden door het virus getroffen. WannaCry richtte zo voor miljoenen euro's schade aan.

Je zou de cyberaanval dan ook een succes kunnen noemen. Of toch niet? Want het motief achter de aanval is nog niet duidelijk. Wilden de hackers inderdaad wereldwijd schade aanrichten, dan zijn ze min of meer in hun opzet geslaagd. Alleen wordt er sterk aan getwijfeld of dat hun motief was.

Misrekend

Wilden ze met de cyberaanval in de eerste plaats geld ophalen, dan lijkt die niet zo'n groot succes te zijn. Tot nog toe haalden de hackers amper 65.000 dollar op, berekende ethisch hacker Inti De Ceukelaire. Die rekensom is relatief makkelijk: in het virus werden drie bitcoin-adressen vermeld waarop slachtoffers geld konden storten. Aangezien alle transacties in bitcoin openbaar zijn, kun je makkelijk nagaan hoeveel geld er op die drie adressen is gestort, zegt ook Thomas Spaas, bestuurder van de Belgische Bitcoin Associatie en advocaat fiscaal recht. Wie achter die adressen zit, is echter niet geweten.

65.000 dollar is opvallend weinig, vindt De Ceukelaire, zeker als je vergelijkt met de impact die het virus wereldwijd gehad heeft. "Ook als je bijvoorbeeld vergelijkt met de Cryptolocker-malware uit 2013 die in een paar dagen tijd een paar miljoen dollar heeft opgehaald."

Dat de hackers zo weinig verdiend hebben, ligt onder meer aan de noodstop die snel ontdekt werd, waardoor de verspreiding van het virus afgeremd werd, meent De Ceukelaire. "Veel mensen hebben ook niet betaald. Ik denk dat de hackers zich toch wat misrekend hebben."

(lees verder onder de foto)

Rommelig

Een teleurstellend bedrag voor de hackers dus, waardoor men zich zou kunnen afvragen of geld echt het motief was. De Ceukelaire denkt van wel. "Het kan zijn dat schade aanrichten hun doel was, maar dan is het toch heel rommelig gebeurd. Ook al was de schade groot, ze had nog veel groter kunnen zijn. Die noodstop was bijvoorbeeld geen goede zet van hen."

Er zijn nog meer redenen om de cyberaanval als amateuristisch te bestempelen, voegt De Ceukelaire er nog aan toe. Het tijdstip bijvoorbeeld. Waarom vlak voor een weekend? Het heeft er toe geleid dat heel wat bedrijven de tijd hadden om hun computers te updaten. "Hadden ze het virus midden in de week gelanceerd, ze hadden veel meer schade kunnen berokkenen."

De hackers zijn ook het slachtoffer geworden van andere hackers, weet De Ceukelaire. "Die hebben het virus kunnen kopiëren om op hun beurt geld te eisen. Waardoor de oorspronkelijke hackers minder konden verdienen."

"Het is een beetje zoals de Mona Lisa stelen"

Ook Thomas Spaas van de Belgische Bitcoin Associatie gaat er van uit dat de hackers vooral op geld uit waren. En ook hij noemt de cyberaanval veeleer een mislukking. "Het is compleet uit de hand gelopen."

Als schade het motief zou zijn geweest, dan zijn de doelwitten heel raar gekozen, zegt Spaas. "Het virus maakt geen onderscheid tussen de nationaliteit van de computers. Bij andere virussen was dat wel het geval: zo bleven Russische computers bijvoorbeeld gevrijwaard. Dit virus was echter op heel de wereld gericht."

Spaas vraagt zich ook af of de hackers het nog wel zullen aandurven om hun bitcoins om te zetten in geld. "Die bitcoin-adressen zijn wereldwijd bekend, de meeste bitcoin-beurzen gaan dat zeker weigeren. Achteraf gezien vind ik het toch niet zo slim om die cyberaanval met bitcoins te doen."

"Het is een beetje zoals de Mona Lisa stelen", gaat Spaas verder, "dat levert ook niets op." Wat ook het doel was, de cyberaanval was vrij dom, besluit hij.

(lees verder onder de foto)

AP2013

Link met Noord-Korea?

En wat dan met die link met Noord-Korea, die hier en daar vernoemd wordt. De Ceukelaire heeft zijn twijfels. Er zou een stukje code in het virus gelinkt worden aan de Lazarus Groep, een groep die verdacht wordt van banden met het Noord-Koreaanse regime, legt hij uit.

"Maar dat stukje code kan per toeval gekopieerd zijn of net met opzet om ons op het verkeerde spoor te zetten. Er zijn twee heel zwakke links die naar Noord-Korea wijzen. Het kan, maar de hackers maakten heel veel amateuristische fouten. Een team hackers met steun van een regering zou die niet maken."

Tot dezelfde conclusie komt Kurt Berghs van Vasco Data Security. De hackers maakten te veel beginnersfouten die de Lazarus Groep nooit zou hebben laten gebeuren, schrijft hij in een blogpost op Datanews.be. "Waarom zou je in hemelsnaam een noodstop in een virus verwerken?", vraagt hij zich af. "Het doet vermoeden dat het virus nog in ontwikkeling was en te vroeg is verspreid."

Meest gelezen