De Spaanse telecom- en internetprovider Telefónica en meerdere Engelse ziekenhuizen zijn tegelijkertijd schijnbaar door dezelfde ransomware getroffen. De ziekenhuizen hebben tijdelijk bijna hun gehele digitale infrastructuur stilgelegd en alleen spoedgevallen worden nog behandeld.
De ransomware-infectie begon op vrijdag rond de klok van half twee 's middags, zo melden Britse media waaronder The Register. Ook de aanval op Telefónica vond vermoedelijk rond die tijd plaats. Het zou gaan om de Wana Decrypt0r 2.0-ransomware. Het adres waar het Bitcoin-losgeld naar gestuurd moet worden, zou volgens The Register in ieder geval hetzelfde zijn, wat verder doet vermoeden dat dezelfde daders achter beide aanvallen zitten.
Andere Spaanse organisaties en bedrijven zouden ook doelwit zijn geworden van deze cyberaanval, maar op dit moment heeft alleen Telefónica dat nog bevestigd. Voor zover bekend is de dienstverlening van Telefónica wel ongehinderd en is de infectie beperkt tot het hoofdkwartier in Madrid.
De ransomware heeft de bestanden op de getroffen pc's versleuteld en de decryptiesleutel wordt alleen afgegeven wanneer er 300 dollar aan Bitcoin per getroffen pc overgemaakt wordt naar het vermelde adres. Dat is momenteel 0,17 Bitcoin of 275 euro. Als dat bedrag niet voldaan wordt binnen drie dagen, wordt het losgeld verdubbeld en na een week wordt de decryptiesleutel niet meer afgegeven. Foto's van de ransomware worden gedeeld op Twitter. Aan de beelden te zien, draait in ieder geval een deel van de pc's op Windows 7.
Hoeveel ziekenhuizen precies getroffen zijn, is niet duidelijk, maar The Guardian spreekt van 'veel'. Door het stilleggen van de systemen werken telefoons, e-mailadressen, netwerken, en uitschrijfsystemen voor medicijnrecepten niet meer. Het landelijke alarmnummer werkt nog wel zoals gewoonlijk en het ziet er op dit moment naar uit dat medische noodgevallen nog wel afgehandeld kunnen worden.
De Britse National Crime Agency werkt samen met de National Health Service om te achterhalen waar ze precies mee te maken hebben en wie er achter de aanval zit. Op het moment vermoeden ze dat het gaat om criminele activiteiten die niet gesponsord zijn door de regering van een ander land. Verder stellen ze dat er op dit moment geen bewijsmateriaal is verzameld dat erop zou duiden dat patiëntengegevens ingezien zijn door de aanvallers.
In januari van dit jaar werd een handvol ziekenhuizen ook al getroffen door malware. Vorig jaar betaalde een Amerikaanse ziekenhuis nog 15.000 euro aan losgeld om van een ransomware-infectie af te komen.