Voor zover bekend heeft een onlangs gesignaleerde variant van de Dorifel-malware nog geen schade aangericht in Nederland. Het NCSC en beveiligingsonderzoeker Mark Loman hebben nog geen Nederlandse infecties waargenomen.
"Er zijn momenteel geen noemenswaardige Dorifel-infecties in Nederland", laat beveiligingsonderzoeker Mark Loman van SurfRight weten. "Hier en daar is er nog een oude infectie uit augustus." De eerste versie van Dorifel verscheen in die maand; toen werden diverse Nederlandse overheidsinstellingen besmet, waaronder ministeries en provincies.
Vorige week verscheen een nieuwe, meer hardnekkige versie, maar die lijkt dus nog geen schade te hebben aangericht. Het Nationaal Cyber Security Centrum bevestigt dat beeld. "Wij hebben geen meldingen ontvangen van besmettingen in Nederland", zegt woordvoerster Mary-Jo van de Velde.
In andere landen deden zich wel nieuwe infecties voor, waaronder in Rusland. Dat betekent volgens beveiligingsonderzoeker Loman dat de malware nu ook op andere manieren werd verspreid dan gedacht. Aanvankelijk werd Dorifel verspreid via het Citadel-botnet, maar, aldus Loman: "Dat werkt niet op systemen met een Russische taalinstelling". Hij denkt dat Dorifel via exploit-kits wordt verspreid, die gebruikers bijvoorbeeld via de browser kunnen infecteren.
Loman denkt dat de maker van Dorifel 'doorlopend' bezig is met het verbeteren van de malware. "Het is wachten totdat de aanvaller met weer een nieuwe variant op de proppen komt en het virus weer langs de virusscanners weet te glippen", zegt hij. De onlangs ontdekte variant van Dorifel, die moeilijker te detecteren en te verwijderen is, wordt inmiddels beter herkend. 19 van 42 geteste antiviruspakketten herkennen de variant, tegen 8 afgelopen donderdag.
De nieuwe versie van het Dorifel-virus lijkt wel gericht op Nederlanders; het virus toont een waarschuwing die zogenaamd van Buma/Stemra en de politie afkomstig is, waarin wordt gemeld dat gebruikers illegaal hebben gedownload en daarom een boete van 100 euro moeten betalen. Doet een gebruiker dat niet, dan krijgt hij geen toegang tot zijn computer en bepaalde bestanden.
De vorige versie van Dorifel deed iets vergelijkbaars; onder meer Word- en Excel-documenten werden ontoegankelijk gemaakt. Daarbij werd, om onduidelijke redenen, echter geen vergelijkbare melding getoond. Het was daarom lang onduidelijk waarom de malware de documenten verminkte. Misschien is de waarschuwing toen per abuis niet getoond.
Inmiddels zouden er zes versies van Dorifel in omloop zijn. Opvallend is dat domeinen die door Dorifel worden gebruikt, volgens Loman zijn geregistreerd door dezelfde personen die eerder deze maand de malware op Telegraaf.nl verspreidden. Dat betekent dat de domeinnamen zijn geregistreerd door dezelfde persoon die 'domeinnamen voor andere boefjes registreert', in de woorden van Loman, of dat dezelfde groep achter beide aanvallen zit.