De afgelopen tijd werd de wereld aangevallen door WannaCry-ransomware. Ziekenhuizen werden unabled, parkeergarages kregen problemen en zelfs het openbaar vervoer werd geraakt. Wat hebben we voor onze klanten kunnen doen, wat is er nu precies gebeurd, en wat kunt u er tegen doen?
Omgevingen van onze klanten zijn gecontroleerd
Sinds de uitbraak van vrijdag 12 mei is het Simac SOC (Security Operation Center) en engineers 7x24 uur aan het werk geweest om de omgevingen van onze klanten te controleren en waar nodig extra te beschermen tegen WannaCry. Tot op heden heeft niemand van onze klanten WannaCry van dichtbij hoeven meemaken.
WannaCry-ransomware: huidige stand van zaken
Op vrijdag 12 mei 2017 is er een wereldwijde uitbraak van het WannaCry ransomware geconstateerd. Binnen korte tijd werd iedereen variërend van onder andere ziekenhuizen tot autofabrieken, spoorwegen en telefonie providers geraakt door deze uitbraak. Op dit moment zijn er al meer dan 418.000 infecties in meer dan 150 landen gezien en 317 betalingen hebben plaatsgevonden richting de cybercriminelen, met een totale waarde van $ 120,768.66. De actuele stand van zaken is te volgen via: https://twitter.com/actual_ransom
Wat is WannaCry-ransomware?
WannaCry-ransomware is een combinatie van twee zaken; ransomware en een worm. Ransomware of gijzelsoftware is een chantagemiddel op internet. Letterlijk vertaald betekent ransom: losgeld. Ransomware is malware die een computer en/of gegevens die erop staan blokkeert. Vervolgens wordt de gebruiker om geld gevraagd om de computer weer te 'bevrijden'.
Een computerworm (of kortweg worm) is een zichzelf vermenigvuldigend computerprogramma. Via een netwerk worden kopieën van deze worm doorgestuurd zonder een tussenkomst van een tussengebruiker. Een worm is geen computervirus want hij heeft geen computerprogramma nodig om zich aan vast te hechten. Men kan stellen dat een worm schade toebrengt aan een netwerk, waar een virus een gerichte aanval op een computer doet.
Wat doet WannaCry?
Op dit moment is de analyse van deze aanval in volle gang. WannaCry maakt gebruik van een beveiligingslek in Microsoft Windows SMB Server dat Microsoft op 14 maart 2017 patchte. Door het versturen van een speciaal bericht naar een Microsoft Server Message Block 1.0 (SMBv1) server kan een aanvaller via dit beveiligingslek kwetsbare machines overnemen en hier willekeurige code op uitvoeren, zoals ransomware. Ook zijn er op dit moment al phishing mails gezien met een PDF bestand daaraan. Wanneer het slachtoffer het PDF bestand opent, wordt op de achtergrond de ransomware binnengehaald. Deze versleutelt vervolgens alle bestanden op uw pc en verandert de extensie naar .wnry, .wcry, .wncry en .wncryt.
De gebruiker ziet hierna een rood scherm met de ransomware melding, waarin verzocht wordt 300 dollar aan losgeld te betalen in Bitcoins. Indien de gebruiker de PC herstart komt een blauw scherm naar voren, en de PC start niet verder door. Tegelijkertijd met deze activiteiten doet de worm op de achtergrond zijn werk en gaat via SMB binnen het netwerk op zoek naar andere mogelijke slachtoffers.
Welke Windows-versies zijn kwetsbaar voor WannaCry?
Het beveiligingslek is aanwezig in alle ondersteunde Windows versies, alsmede Windows XP, Windows Server 2003 en Windows 8 die niet meer worden ondersteund. Voor deze drie Windows-versies heeft Microsoft alsnog voor alle gebruikers een update uitgebracht om het SMB-lek te dichten. Microsoft heeft echter laten weten dat de exploit die de WannaCry-ransomware gebruikt niet tegen Windows 10 werkt. Iets dat al eerder bekend was.
Hoe kunnen organisaties zich tegen de aanval beschermen?
Systemen die beveiligingsupdate MS17-010 van 14 maart hebben geïnstalleerd zijn niet kwetsbaar, wat aangeeft hoe belangrijk het tijdig installeren van updates is. Daarnaast wordt ook aangeraden om SMB niet bereikbaar voor internet te maken.
Is de WannaCry-ransomware nu nog gevaarlijk?
De versie die vrijdag 12 mei rondging bevatte een ‘killswitch’ die ervoor zorgt dat alle functionaliteit stopt. Zodra de ransomware op een machine actief is probeert het verbinding met een .com-domein te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. De aanvallers hadden de betreffende domeinnaam echter niet geregistreerd. Een 22-jarige onderzoeker met het alias MalwareTech registreerde het domein en neutraliseerde daarmee de aanval. Aangezien deze ‘killswitch’ natuurlijk niet de bedoeling van de aanvallers was, wordt er vanuit gegaan dat er spoedig een nieuwe versie van de ransomware zal verschijnen waarin deze ‘killswitch’ niet meer aanwezig is. Er gaan nu ook berichten over een versie zonder ‘killswitch’, maar hier zijn nog onduidelijkheden over.
Voor iedereen die wil zien hoe groot de impact is, kunt u de onderstaande link volgen.