Allereerst: wat is er precies gebeurd? Er blijkt een backdoor te zitten in CCleaner, een populair programma om onnodige rotzooi op een pc op te ruimen en zo meer ruimte op de schijf vrij te maken. CCleaner is gebouwd door softwarebouwer Piriform, dat in juli werd overgenomen door beveiligingsbedrijf Avast. Overigens wil Avast wel even duidelijk hebben dat de inbraak al gebeurde vóór de overname.

De backdoor werd ontdekt door de Talos-securitygroep van Cisco . Avast heeft zelf in een verklaring bevestigd dat er een lek in de software zat.

Iedereen die de 32-bit-versie van CCleaner heeft gedownload tussen 15 augustus en 15 september is waarschijnlijk slachtoffer van de backdoor. Gebruikers die het programma vóór die tijd hebben gedownload (of daarna) zijn veilig. Ook is er inmiddels een update uitgebracht die de backdoor verwijdert.

Een andere reden is dat CCleaner juist niet aan auto-updates doet. Dat is een aparte beslissing voor dergelijke unieke software, maar in dit geval heeft het juist veel gebruikers gered.

Een belangrijke reden voor het relatief lage aantal slachtoffers is het feit dat de backdoor alleen in de 32-bit-versie van de software zit, en dat computers tegenwoordig voornamelijk 64-bit-chips draaien.

Opvallend aan de aanval is dat niet bekend is wat de malware precies doet. Beveiligingsonderzoekers zijn nog steeds op zoek naar de werking van de malware, maar weten nog niet of het gaat om malware die gegevens steelt of wacht om op een later moment te slaan.

Dat laatste is niet ondenkbaar. Op eenzelfde manier werd in juni van dit jaar de Petya-ransomware verspreid . Dat gebeurde doordat aanvallers (waarschijnlijk uit Rusland) een softwarebedrijf uit Oekraïne wisten te infecteren dat boekhoudprogramma's maakte. Via een update van dat programma werd de Petya-ransomware verspreid naar computers van bedrijven die daar gebruik van maakten.

Het blijft de vraag of de backdoor in CCleaner echt ransomware bevatte. Gezien de huidige trend van cybercriminaliteit lijkt dat logisch, maar het blijft speculatie.

Het zou kunnen dat ook deze malware eigenlijk ransomware is die over een tijdje ineens actief zou worden, mogelijk nadat nog meer gebruikers CCleaner hadden gedownloaden zodat de malware maximaal effect zou hebben. De schade was dan groot geweest: uit onderzoek blijkt dat veel slachtoffers bereid zijn te betalen om hun bestanden terug te krijgen.

Volgens sommige beveiligingsonderzoekers is het een nieuwe trend om malware te verspreiden via bestaande applicaties. Dat is een effectieve manier om slachtoffers te treffen, want het is lastig je daartegen te wapenen. Zulke 'supply-chain-attacks' kunnen in de toekomst best eens wat schade gaan veroorzaken.

Het is niet de eerste keer dat dat gebeurt. Al lang geleden was te zien hoe sommige gratis programma's bundels aanboden met bijvoorbeeld toolbars erin, en later met steeds malafidere software.