Wie vandaag achter zijn bureau een onschuldig ogende bijlage opent, kan zonder het te beseffen de lont in een digitaal kruitvat steken. Onderzoekers waarschuwen voor SORVEPOTEL, een zelfverspreidende malware die het vertrouwen in WhatsApp misbruikt en in razend tempo via Windows-pc’s om zich heen grijpt. De campagne zet niet in op datadiefstal of ransomware, maar op snelheid en bereik, precies genoeg om bedrijfsprocessen te verstoren, reputaties te beschadigen en interne communicatie lam te leggen.
Een bericht komt binnen via een contact dat eerder is gecompromitteerd, compleet met overtuigende bewoordingen en een ZIP-bestand dat zich voordoet als bon, zendingsoverzicht of gezondheidsapp. Na het uitpakken volgt een Windows-snelkoppeling die PowerShell start, waarop de echte lading wordt binnengehaald en zich vastzet in de opstartmap. Zodra WhatsApp Web actief is, jaagt de malware automatisch dezelfde ZIP door alle chats en groepen van het slachtoffer. Het gevolg is een lawine aan spam die vaak uitmondt in een blokkade van het betrokken account, terwijl het onderzoek intern nog moet beginnen en medewerkers elkaar intussen niet meer kunnen bereiken.
De uitbraken concentreren zich vooral in Brazilië, maar het doelwitprofiel zegt genoeg over het werkelijke risico. Overheidsdiensten, nutsbedrijven, industrie, technologie, onderwijs en bouw werden geraakt, precies de sectoren waar continuïteit telt en waar een dag vol geblokkeerde accounts en dichtgetimmerde kanalen meer schade doet dan een traditionele datalekmelding. Dat de campagne ook via geloofwaardige e-mailafzenders ZIP-bestanden rondstuurt, maakt klassieke perimeterfilters minder effectief en verplaatst de zwakke plek naar het scherm van de kantoorgebruiker.
In Suriname moeten we hier absoluut voor uitkijken want WhatsApp is in veel organisaties uitgegroeid tot informele bron om informatie uit te wisselen, van kleine verkopers tot leverancierscontact. Een worm die zich specifiek aan de desktopversie vastklampt, vertaalt zich in stilvallende teams, een piek in helpdesktickets en een directievergadering die via privételefoons moet worden geïmproviseerd. De indirecte kosten lopen snel op, nog voor er sprake is van herstel of forensisch onderzoek.
Avigdor, experts in Surinaamse cyberbeveiliging, vat de aanpak terughoudend maar concreet samen. Zet niet alleen in op bewustwording of een incidentele phishingtest, zet het systeem zo neer dat fouten niet fataal worden. Laat WhatsApp Web standaard uit op kantoormachines tenzij het aantoonbaar nodig is en koppel uitzonderingen aan device compliance en tijdsvensters, blokkeer LNK en scriptuitvoering buiten beheerde paden via AppLocker of Windows Defender Application Control, dwing uitpak- en uitvoerregels af in Microsoft Defender for Endpoint, laat ZIP-bijlagen eerst in een cloud-sandbox detoneren, en verbind toegang tot bedrijfsbronnen aan identity-gebaseerde controle met voorwaardelijke toegang en multifactor. Wie dit combineert met logische segmentatie en een strakke lijst van toegestane domeinen voor uitgaande verbindingen, haalt de zuurstof weg uit campagnes die leunen op snelle propagatie en losse eindjes in het werkplekbeheer.
De strategische ondertoon is even belangrijk als de techniek, wanneer bedrijven die berichtenplatformen gebruiken als operationele ruggengraat, horen die keuze gelijkwaardig te behandelen aan een ERP of e-mailcluster, met beleid, monitoring en noodprocedures. Een gedragsregel die chats buiten werktijd naar privéapparaten verplaatst en overdag naar beheerde clients, een incidentkaart die bij blokkades een alternatieve communicatielijn activeert, en een rapportage die meet hoe vaak bijlagen via webchats worden gedeeld, maken het verschil tussen een onhandig uur en een zwarte dag op de planning.
SORVEPOTEL is geen spectaculaire gijzeling met ronkende losgeldbrief, maar juist dat maakt de dreiging verraderlijk. De worm vraagt geen toestemming, hij vraagt aandacht. Wie nu het minimale hardt, voorkomt dat een handige bijlage morgenochtend de stand-up van het hele bedrijf overneemt.
