PostNL mikpunt van cybercriminelen

Cybercriminelen gebruiken op dit moment nep e-mails die van PostNL afkomstig lijken om kwaadaardige en schadelijke software (malware) te verspreiden. Daarvoor waarschuwt het postbedrijf zelf.

Het gaat hier om zogenaamde TorrentLocker-ransomware, waarbij gebruikers moeten betalen om toegang tot versleutelde bestanden op hun computer te verkrijgen.

Via de mail ontvangen mensen berichten die suggereren dat een koerier een pakket niet kon afleveren. Meer informatie is via een meegestuurde link te verkrijgen. De link wijst naar een nagemaakte PostNL-website en gebruikt een officieel lijkende domeinnaam. Op deze pagina moet de gebruiker de tekens van een op het scherm getoonde vervormde opeenvolging van letters overtypen, om de track en trace informatie over het zogenaamde pakket te ontvangen.

In werkelijkheid wordt er vervolgens een gecomprimeerd (zip-)bestand met daarin een pdf-document aangeboden met daarin de schadelijke software verborgen. Zodra gebruikers het pdf-document in het zip-bestand openen, versleutelt de schadelijke software allerlei bestanden op de betreffende computer. Tegen betaling van 400 euro in Bitcoin zijn die bestanden weer toegankelijk te maken.

De servers die de schadelijke software verspreiden zijn uit de lucht gehaald. De kans dat cybercriminelen opnieuw mails uitsturen is echter aanzienlijk. PostNL werkt daarom nauw samen met het Nationaal Cyber Security Centrum. Klanten die gebruikmaken van de PostNL dienst ‘Mijnpakket’ hebben overigens geen last van deze nepmails.

Het IT-beveiligingsbedrijf Fox-IT adviseert organisaties die slachtoffer van TorrentLocker zijn geworden om besmette machines uit de infrastructuur te halen. Volgens Fox-IT zijn besmette systemen te herkennen aan een tweede ‘explorer.exe’-proces, dat in het taakbeheer kan worden gezien. Daarbij wordt aangeraden om de systemen niet meteen te wissen of opnieuw te installeren, aangezien ze belangrijke aanwijzingen over de infectie kunnen bevatten. Fox-IT heeft op zijn weblog enkele instructies geplaatst hoe besmette systemen herkend en geïsoleerd kunnen worden.