Op vrijdag 12 mei 2017 werden allerlei organisaties wereldwijd getroffen door de WannaCry-ransomware. Systemen van ziekenhuizen werden uitgeschakeld, autofabrieken stopten de productie, klanten van parkeergarages konden niet betalen, informatieborden van de Duitse spoorwegen werkten niet en er vond zelfs spoedoverleg in het Witte Huis plaats. Maar hoe zit het nu precies? Security.NL zet in dit artikel de feiten op een rij.
Hoe verspreidt WannaCry zich?
WannaCry maakt gebruik van een beveiligingslek in Microsoft Windows SMB Server dat Microsoft op 14 maart 2017 patchte. Door het versturen van een speciaal bericht naar een Microsoft Server Message Block 1.0 (SMBv1) server kan een aanvaller via dit beveiligingslek kwetsbare machines overnemen en hier willekeurige code op uitvoeren, zoals ransomware. Hiervoor scant de ransomware via TCP-poort 445 naar kwetsbare machines.
Er gaan ook berichten over het gebruik van bijlagen waardoor WannaCry zich zou verspreiden, maar die zijn nog niet bevestigd. Beveiligingsbedrijf McAfee laat aan Security.NL weten dat het alleen infecties via het SMB-lek heeft waargenomen.
Welke Windowsversies zijn kwetsbaar voor WannaCry?
Het beveiligingslek is aanwezig in alle ondersteunde Windowsversies, alsmede Windows XP, Windows Server 2003 en Windows 8 die niet meer worden ondersteund. Voor deze drie Windowsversies heeft Microsoft alsnog voor alle gebruikers een update uitgebracht om het SMB-lek te dichten. Microsoft heeft echter laten weten dat de exploit die de WannaCry-ransomware gebruikt niet tegen Windows 10 werkt. Iets dat al eerder bekend was.
Is dit de meest schadelijke/succesvolle ransomware-aanval ooit?
Dat is lastig te zeggen. WannaCry zou zo'n 200.000 unieke ip-adressen hebben besmet. De Confickerworm wist zo’n 7 miljoen computers wereldwijd te infecteren. Wordt er specifiek naar ransomware gekeken dan zijn er andere ransomware-exemplaren die meer systemen wisten te infecteren en de aanvallers erachter meer geld opleverden. Zo wist de CryptoLocker-ransomware volgens de FBI wereldwijd 234.000 computers te infecteren. Slachtoffers zouden 3 miljoen dollar hebben betaald voor het ontsleutelen van hun computers, hoewel er ook een schatting van 24 miljoen dollar wordt genoemd.
De Cryptowall-ransomware zou zelfs 830.000 machines hebben besmet en criminelen mogelijk 325 miljoen dollar hebben opgeleverd. De drie bitcoinadressen die WannaCry gebruikt hebben tot nu toe zo’n 22 bitcoin ontvangen, wat met de huidige koers zo’n 36.000 euro is. De herstelkosten vanwege WannaCry kunnen echter in de tientallen miljoenen euro’s lopen, zo stelt Symantec.
Hoeveel losgeld vraagt WannaCry?
De ransomware vraagt 300 dollar in bitcoin voor het ontsleutelen van bestanden.
Is de WannaCry-ransomware door de NSA ontwikkeld?
Nee, de NSA heeft WannaCry niet ontwikkeld. De Amerikaanse inlichtingendienst wordt wel als verantwoordelijke gezien voor de EternalBlue-exploit die de ransomware gebruikt om systemen mee aan te vallen. Deze exploit werd bij de NSA gestolen en door een groep genaamd Shadow Brokers op 14 april openbaar gemaakt. Het beveiligingslek waar de exploit gebruik van maakt was toen al een maand door Microsoft gepatcht.
Kwam de aanval als een verrassing?
Zoals gezegd verscheen de exploit om systemen mee aan te vallen op 14 april. Een week later werden systemen wereldwijd al via deze exploit aangevallen. Een beveiligingsbedrijf stelde rond deze tijd dat het SMB-lek werd gebruikt om Windowsservers met ransomware te infecteren, maar verdere details werden niet gegeven. Beveiligingsonderzoeker Kevin Beaumont voorspelde op 19 april 2017 dat de EternalBlue-exploit door een ransomwareworm gebruikt zou worden.
Hoe kunnen organisaties zich tegen de aanval beschermen
Systemen die beveiligingsupdate MS17-010 van 14 maart hebben geïnstalleerd zijn niet kwetsbaar, wat aangeeft hoe belangrijk het tijdig installeren van updates is. Daarnaast wordt ook aangeraden om SMB niet bereikbaar voor internet te maken.
Kon de aanval worden voorkomen?
Chris Wysopal van beveiligingsbedrijf Veracode stelde het volgende: "Het grootste probleem hier is dat organisaties meer dan acht weken de tijd nemen om een Microsoft-update te installeren."
Hoe zit het met Nederlandse organisaties?
Het Nationaal Cyber Security Centrum (NCSC) van de overheid laat weten dat er tot nu toe geen Nederlandse organisaties uit de vitale sectoren en overheid bekend zijn die getroffen zijn door een besmetting met WannaCry. Wel raakten systemen van parkeerbedrijf Q-Park in Nederland met de ransomware besmet. Daardoor konden klanten niet meer bij de parkeerautomaat betalen. Beveiligingsbedrijf McAfee liet dit weekend aan Security.NL weten dat het een handvol hits in Nederland heeft ontdekt, terwijl F-Secure het over "een paar honderd gevallen" heeft.
Is de WannaCry-ransomware nu nog gevaarlijk
De versie die vrijdag rondging bevatte een “killswitch” die ervoor zorgt dat alle functionaliteit stopt. Zodra de ransomware op een machine actief is probeert het verbinding met een .com-domein te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. De aanvallers hadden de betreffende domeinnaam echter niet geregistreerd. Een 22-jarige onderzoeker met het alias MalwareTech registreerde het domein en neutaliseerde daarmee de aanval. Er gaan nu ook berichten over een versie zonder killswitch, maar hier zijn nog onduidelijkheden over.
Krijgen slachtoffers die betalen hun bestanden terug?
Er zijn nog geen berichten verschenen van slachtoffers die hebben betaald en ook daadwerkelijk hun bestanden hebben teruggekregen. Onderzoekers twijfelen daarnaast of versleutelde bestanden wel door de ransomwaremakers kunnen worden ontsleuteld.
Dit artikel zal regelmatig met nieuwe feiten worden bijgewerkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.