Uitbraak WannaCry-ransomware: De feiten op een rij
Op vrijdag 12 mei 2017 werden allerlei organisaties wereldwijd getroffen door de WannaCry-ransomware. Systemen van ziekenhuizen werden uitgeschakeld, autofabrieken stopten de productie, klanten van parkeergarages konden niet betalen, informatieborden van de Duitse spoorwegen werkten niet en er vond zelfs spoedoverleg in het Witte Huis plaats. Maar hoe zit het nu precies? Security.NL zet in dit artikel de feiten op een rij.
Hoe verspreidt WannaCry zich?
WannaCry maakt gebruik van een beveiligingslek in Microsoft Windows SMB Server dat Microsoft op 14 maart 2017 patchte. Door het versturen van een speciaal bericht naar een Microsoft Server Message Block 1.0 (SMBv1) server kan een aanvaller via dit beveiligingslek kwetsbare machines overnemen en hier willekeurige code op uitvoeren, zoals ransomware. Hiervoor scant de ransomware via TCP-poort 445 naar kwetsbare machines.
Er gaan ook berichten over het gebruik van bijlagen waardoor WannaCry zich zou verspreiden, maar die zijn nog niet bevestigd. Beveiligingsbedrijf McAfee laat aan Security.NL weten dat het alleen infecties via het SMB-lek heeft waargenomen.
Welke Windowsversies zijn kwetsbaar voor WannaCry?
Het beveiligingslek is aanwezig in alle ondersteunde Windowsversies, alsmede Windows XP, Windows Server 2003 en Windows 8 die niet meer worden ondersteund. Voor deze drie Windowsversies heeft Microsoft alsnog voor alle gebruikers een update uitgebracht om het SMB-lek te dichten. Microsoft heeft echter laten weten dat de exploit die de WannaCry-ransomware gebruikt niet tegen Windows 10 werkt. Iets dat al eerder bekend was.
Is dit de meest schadelijke/succesvolle ransomware-aanval ooit?
Dat is lastig te zeggen. WannaCry zou zo'n 200.000 unieke ip-adressen hebben besmet. De Confickerworm wist zo’n 7 miljoen computers wereldwijd te infecteren. Wordt er specifiek naar ransomware gekeken dan zijn er andere ransomware-exemplaren die meer systemen wisten te infecteren en de aanvallers erachter meer geld opleverden. Zo wist de CryptoLocker-ransomware volgens de FBI wereldwijd 234.000 computers te infecteren. Slachtoffers zouden 3 miljoen dollar hebben betaald voor het ontsleutelen van hun computers, hoewel er ook een schatting van 24 miljoen dollar wordt genoemd.
De Cryptowall-ransomware zou zelfs 830.000 machines hebben besmet en criminelen mogelijk 325 miljoen dollar hebben opgeleverd. De drie bitcoinadressen die WannaCry gebruikt hebben tot nu toe zo’n 22 bitcoin ontvangen, wat met de huidige koers zo’n 36.000 euro is. De herstelkosten vanwege WannaCry kunnen echter in de tientallen miljoenen euro’s lopen, zo stelt Symantec.
Hoeveel losgeld vraagt WannaCry?
De ransomware vraagt 300 dollar in bitcoin voor het ontsleutelen van bestanden.
Is de WannaCry-ransomware door de NSA ontwikkeld?
Nee, de NSA heeft WannaCry niet ontwikkeld. De Amerikaanse inlichtingendienst wordt wel als verantwoordelijke gezien voor de EternalBlue-exploit die de ransomware gebruikt om systemen mee aan te vallen. Deze exploit werd bij de NSA gestolen en door een groep genaamd Shadow Brokers op 14 april openbaar gemaakt. Het beveiligingslek waar de exploit gebruik van maakt was toen al een maand door Microsoft gepatcht.
Kwam de aanval als een verrassing?
Zoals gezegd verscheen de exploit om systemen mee aan te vallen op 14 april. Een week later werden systemen wereldwijd al via deze exploit aangevallen. Een beveiligingsbedrijf stelde rond deze tijd dat het SMB-lek werd gebruikt om Windowsservers met ransomware te infecteren, maar verdere details werden niet gegeven. Beveiligingsonderzoeker Kevin Beaumont voorspelde op 19 april 2017 dat de EternalBlue-exploit door een ransomwareworm gebruikt zou worden.
Hoe kunnen organisaties zich tegen de aanval beschermen
Systemen die beveiligingsupdate MS17-010 van 14 maart hebben geïnstalleerd zijn niet kwetsbaar, wat aangeeft hoe belangrijk het tijdig installeren van updates is. Daarnaast wordt ook aangeraden om SMB niet bereikbaar voor internet te maken.
Kon de aanval worden voorkomen?
Chris Wysopal van beveiligingsbedrijf Veracode stelde het volgende: "Het grootste probleem hier is dat organisaties meer dan acht weken de tijd nemen om een Microsoft-update te installeren."
Hoe zit het met Nederlandse organisaties?
Het Nationaal Cyber Security Centrum (NCSC) van de overheid laat weten dat er tot nu toe geen Nederlandse organisaties uit de vitale sectoren en overheid bekend zijn die getroffen zijn door een besmetting met WannaCry. Wel raakten systemen van parkeerbedrijf Q-Park in Nederland met de ransomware besmet. Daardoor konden klanten niet meer bij de parkeerautomaat betalen. Beveiligingsbedrijf McAfee liet dit weekend aan Security.NL weten dat het een handvol hits in Nederland heeft ontdekt, terwijl F-Secure het over "een paar honderd gevallen" heeft.
Is de WannaCry-ransomware nu nog gevaarlijk
De versie die vrijdag rondging bevatte een “killswitch” die ervoor zorgt dat alle functionaliteit stopt. Zodra de ransomware op een machine actief is probeert het verbinding met een .com-domein te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. De aanvallers hadden de betreffende domeinnaam echter niet geregistreerd. Een 22-jarige onderzoeker met het alias MalwareTech registreerde het domein en neutaliseerde daarmee de aanval. Er gaan nu ook berichten over een versie zonder killswitch, maar hier zijn nog onduidelijkheden over.
Krijgen slachtoffers die betalen hun bestanden terug?
Er zijn nog geen berichten verschenen van slachtoffers die hebben betaald en ook daadwerkelijk hun bestanden hebben teruggekregen. Onderzoekers twijfelen daarnaast of versleutelde bestanden wel door de ransomwaremakers kunnen worden ontsleuteld.
Dit artikel zal regelmatig met nieuwe feiten worden bijgewerkt.
Een klein foutje: Op vrijdag 12 april 2017, dat moet mei zijn.
tja, uitzoeken kost 2 maanden.... o nee, ongeveer een half uur includief testen.
ach... als je een excuus wilt zoeken, doe dat vooral.
Bestanden worden versleuteld met extensies .wnry, .wcry, .wncry en .wncryt.
Dit zijn de dusver bekende extensies. Zou kunnen dat dit nog wordt uitgebreid.
Dat ik werd afgesloten vond ik niet zo'n probleem (bovendien had ik mijn verbinding snel weer terug), maar als het klopt dat die afsluiting plaatsvond op basis van een DNS lookup, dan is dat desastreus voor computers waar WannaCry daadwerkelijk op is gestart!
Volgens de analyse (zie https://twitter.com/darienhuss/status/863083680528576512) is het namelijk zo dat, als WannaCry succesvol een http verbinding kan maken met het kill switch domein, de malware stopt.
Als goedbedoelende maar suffe providers zoals Xs4all en/of antivirusboeren http toegang tot het kill switch domein blokkeren, stopt WannaCry juist niet!
Zie mijn bijdrage in https://tweakers.net/nieuws/124635/beveiligingsonderzoeker-vindt-per-toeval-killswitch-voor-ransomwarecampagne.html?showReaction=9990961#r_9990961 waarom mijn webbrowser het kill switch domein meende te moeten benaderen.
1 voorbeeldje van de afgelopen 2 weken is de Office Update waardoor superscript niet meer werkte https://support.office.com/nl-nl/article/Superscripts-worden-weergegeven-als-subscripts-in-voetnootmarkeringen-in-Word-2016-f85c5bc1-053b-4560-a439-03bcff4e1696
dat is wel Office maar voor Windows Servers was er een Security update die Group Policies niet meer leesbaar maakte waardoor b.v. iconen etc niet meer bij de gebruiker verschenen. Ga ze niet allemaal opzoeken en daar horen deze grote bedrijven OTAP discipline te gebruiken.
elke upgrade vertraagde de werking van mijn hardware en mocht ik weer nieuwe hardware gaan kopen.
Bij linux gaat dat andersom. elke upgrade betekend dat t weer wat sneller wordt.....
En toch zijn er mensen geïnfecteerd????
WIE hangt windows direct aan het internet en dan ook nog met SMB open?
Sorry, maar dan speel je toch gewoon voor honeypot?
"geïnfecteerde systemen ligt rond de 200.000"
maar dit zijn het aantal unieke IP adressen, niet systemen.
"een “killswitch” die ervoor zorgt dat alle functionaliteit stopt"
het stopte alleen de SMB worm, niet het encryptie process op de eerst geinfecteerde machine
elke upgrade vertraagde de werking van mijn hardware en mocht ik weer nieuwe hardware gaan kopen.
Bij linux gaat dat andersom. elke upgrade betekend dat t weer wat sneller wordt.....
Als je jouw redenatie volgt werkt Linux dus nog steeds op je oude computer waar je ooit ook Windows 95 op had kunnen zetten en is het sneller dan die eerste installatie??
Ja daar schieten we toch een beetje door met de automatisering...
En toch zijn er mensen geïnfecteerd????
WIE hangt windows direct aan het internet en dan ook nog met SMB open?
Sorry, maar dan speel je toch gewoon voor honeypot?
Nee... Want met een ander OS zouden ze exact het zelfde issue hebben. Niet gepatchte omgevingen.
En je MS defintie zegt eigenlijk al weer voldoende, ofwel geen nuttige toevoeging, behalve te willen trollen
En toch zijn er mensen geïnfecteerd????
WIE hangt windows direct aan het internet en dan ook nog met SMB open?
Sorry, maar dan speel je toch gewoon voor honeypot?
Dit klopt niet, niet via e-mail, direct via een open SMB port op kwetsbare systemen.
The Initial Infection Vector Is A Well-crafted Phishing Email.
According to CrowdStrike's vice president of intelligence Adam Meyers, the initial spread of WannaCry is coming through phishing, in which fake invoices, job offers and other lures are being sent out to random email addresses. Within the emails is a password protected .zip file, so the email uses social engineering to persuade the victim to unlock the attachment with a password, and once clicked that initiates the WannaCry infection. Microsoft confirms this in a blog post.
Er zijn genoeg bedrijven die op verouderde Linux/Unix boxen draaien, om dezelfde redenen dat Windows boxen dat doen.
Het probleem is veel groter. Het missen van netwerk segmentatie, te los ingestelde firewalls, geen IDS, slechte virus filters. Alleen vertrouwen op software updates and vendor support is altijd fout en eigenlijk moet je ervanuit gaan dat er altijd een lek is. Wanneer je interessant genoeg bent als target, wordt er ook altijd een lek gevonden.
Want denk je eens in als ShadowBrokers dit niet had gelekt maar opnieuw had verhandeld aan de hoogste bieder. Of wanneer de volgende Ransomware club de NSA gaat overbieden. NSA is normaliter de hoogste bieder op de zwarte markt voor exploits, gelijk ook de enige reden dat ze de exploits hadden.
https://en.wikipedia.org/wiki/Layered_security
The Initial Infection Vector Is A Well-crafted Phishing Email.
According to CrowdStrike's vice president of intelligence Adam Meyers, the initial spread of WannaCry is coming through phishing, in which fake invoices, job offers and other lures are being sent out to random email addresses. Within the emails is a password protected .zip file, so the email uses social engineering to persuade the victim to unlock the attachment with a password, and once clicked that initiates the WannaCry infection. Microsoft confirms this in a blog post.
Heb ik idd gezien, maar klopt niet.
Je ziet op social media ook allerlei voorbeelden met zogenaamde WanaCryptOr bijlages, na enig onderzoek blijken dat Cerber voorbeelden te zijn.
NCSC en Fox-IT verklaarde initieel ook dat het om e-mail ging, maar hebben die verklaring gisteren ingetrokken.
Geloof mij, de worm is voor distributie voor ransomware, niet de email.
Onzin. Dat geldt ook voor bedrijven. Het is vrij simpel. Of je patcht. Of je hangt je systeem niet aan internet. Als je niet patcht en je systeem wel aan internet hangt ben je zelf aansprakelijk.
hoe wordt dit gecheckt?... en is de check dan sneller dan de afkeur van de dubbel voor de bChain?
Anders fake betaling vrij loskoppelen schoonmaken .... klaar (al is het niet zeker dat je na betaling geholpen ben dus dan is dit ook niet toereikend)
En dat is nu precies waarom er vulnerability management systemen zijn, die geven aan welke patches van belang zijn.
Vroeger stond er gewoon in de 1-regelige omschrijving van iedere update waar ie voor was, maar dat staat nu niet
meer in de update zelfs niet meer op de download pagina, daar moet je eerst 3 keer voor doorklikken.
Men wil kennelijk niet dat de gebruiker geinformeerd wordt.
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
Meerdere zaken zijn fout gegaan:
- Microsoft levert software met een fout erin.
- NSA houdt de exploit achter voor eigen gebruik.
- De exploit is gelekt.
- De oplossing van Microsoft is niet door iedereen geïnstalleerd.
- De exploit is publiek via Metasploit + RiskSense-Ops (gratis voor iedereen) beschikbaar.
Naar mijn smaak gebruikt microsoft updates om systemen over een periode van 2-3 jaar zodanig langzamer te maken om je tot upgrade aan te zetten.
Nou dat is wel de understatement van het jaar! Microsoft zou zich moeten schamen voor Windows Update.
het is een wanproduct wat ze alleen maar overleven omdat ze nou eenmaal de gevestigde partij zijn, iedere andere
fabrikant zou hier failliet aan zijn gegaan.
25 jaar hebben ze er aan ontwikkeld en het is zo rot als een mispel...
[A] een EthernalBlue-exploit konden identificeren in SMBv1 TCP 445 traffic ?
de exploit konden stoppen/blokkeren ?
Zo ja, welke fabricant was hiertoe in staat ? Want dat is het enige dat telt.....de rest zijn allemaal vijgen na Pasen.
http://www.thewindowsclub.com/disable-smb1-windows
http://www.makeuseof.com/tag/prevent-wannacry-malware-variants-disabling-windows-10-setting/
In de reacties van die artikelen worden enkele nadelen genoemd.
Iemand hier een mening over?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
