Afgelopen vrijdag kregen wereldwijd allerlei bedrijven en ziekenhuizen ineens een vreemde boodschap op hun Windows-computers te zien. Het bleek het gevolg van een cyberaanval met de ransomware worm Wannacry.
'Oeps, uw bestanden zijn versleuteld! Foto’s, bestanden, databanken, en andere gegevens zijn onbereikbaar. U kunt de bestanden weer vrij krijgen, maar u heeft daarvoor niet zo genoeg tijd', zo luidde de boodschap. Wat is Wannacry en waar komt het vandaan?
Wat is Wannacry?
Wannacry is ransomware die een (recent gepatcht) lek in Microsoft Windows gebruikt om zich razendsnel te verspreiden via interne netwerken. Om precies te zijn maakt de ransomware gebruik van een lek in Windows SMB Server. Overigens heeft Microsoft al op 14 maart een patch hiervoor uitgebracht.
De ransomware lijkt te worden verspreid via een massale mailingcampagne. Zodra een machine is geïnfecteerd, scant die het interne netwerk om collega's aan te steken. Die machines hoeven daarvoor niet zelf met het internet verbonden zijn.
De exploit die Wannacry gebruikt, Eternalblue SMB, was een van de tools die in april gelekt werden door hackinggroep TheShadowBrokers. Die maakten ze dan weer buit bij de Amerikaanse inlichtingendienst NSA.
De SMB-exploit, en de ransomware die hem gebruikt, werkt op alle versies van Windows die nog niet gepatcht zijn met de update MS17-010, die Microsoft op 14 maart uitbracht. Windows 10 en Windows Server 2016 zijn wel standaard beschermd tegen het lek.
De kill switch
Dat Wannacry niet nog meer slachtoffers maakte, is te danken aan een securityonderzoeker van de blog MalwareTech, en een hele hoop toeval. De malware in kwestie is namelijk uitgerust met een hardcoded 'kill switch' of noodrem die de hele boel kan stilleggen. Wannacry probeert tijdens zijn proces verbinding te maken met een webdomein, www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Als die verbinding lukt, stopt het encryptieproces. De onderzoeker kwam tot de vaststelling dat die domeinnaam niet door de hackers was geregistreerd en kon voor zo'n elf dollar de domeinnaam zelf kopen. Na de registratie ervan volgden duizenden verbindingen per seconde. Het is dus voor beheerders van computernetwerken zaak om dat domein vooral niet te blokkeren.
Securityfirma Fox-IT merkt fijntjes op dat dit een slordige vergissing is van de hackers, gezien de grootte van hun malwarecampagne. Iedereen die de phishingmail kreeg en hem pas opende nadat MalwareTech het domein openstelde, is dus van de meeste miserie bespaard gebleven. De deskundige, die twittert onder de naam MalwareTech, verduidelijkt in een tweetbericht overigens dat hij aanvankelijk geen idee had welke gevolgen het registreren van de domeinnaam zou hebben. Het afblokken van de woekerende cyberaanval gebeurde dus eigenlijk toevallig, laat hij blijken. De 'kill-switch' heeft geen invloed op computers die al besmet waren.
Wat doe je eraan?
Gezien de ransomware exploits gebruikt in verouderde versies van Windows, adviseert Microsoft gebruikers van Windows 7 en Windows XP alvast om zo snel mogelijk hun systeem te updaten. Het bedrijf heeft een patch uitgebracht voor Windows 7, genaamd MS17-010 die het lek moet dichten, ook voor Windows XP zijn er updates.
Fox-IT, dat een rapport opstelde over de ransomware, raadt gebruikers en beheerders ook aan om het SMBv1 protocol uit te zetten, en RDP- en SMB connecties van het internet te blokkeren. Toestellen die niet geüpdatet zijn, kun je best van het internet halen (en van het interne netwerk) en zoals altijd met ransomware: zorg dat je goede back-ups hebt van je belangrijke gegevens.
Goed om weten is trouwens dat er een registry key in de ransomware zit, die ervoor zorgt dat de malware niet zomaar kan worden tegengehouden met een reboot. Het is dus echt wel zaak om te updaten.
De tweede ronde
Omdat de aanval op vrijdagavond gebeurde, vreest Europol intussen voor een nieuwe golf van besmettingen op maandag. Dat zei Rob Wainwright, de directeur van Europol, tegenover de Britse zender ITV: "Ik ben bezorgd over de mensen die morgen op hun werk hun niet goed beveiligde computer opstarten. Het zou kunnen leiden tot dezelfde taferelen als vrijdag." Onderzoekers van Kaspersky Lab hebben inmiddels een vorm van het virus gevonden dat is 'gemuteerd', en niet langer gestopt kan worden door de kill switch. Die vorm lijkt zich overigens niet op dezelfde snelle manier te verspreiden als de 'originele' Wannacry.
De slachtoffers
De cyberaanval heeft intussen al wel zo'n 200.000 slachtoffers gemaakt in tenminste 150 landen. Onder meer Britse ziekenhuizen, de Russische overheid, de Duitse spoorwegen en Franse fabrieken van autobouwer Renault werden getroffen alsmede verschillende parkeergarages van Q-Park in Nederland. In België is de schade tot dusverre ook beperkt gebleven. Het Centrum voor Cyberveiligheid (CCB) daar meldde rond zaterdagmiddag één mogelijk slachtoffer. "We voeren jaarlijks tegen zowat tweehonderd cyberaanvallen operaties uit, maar hebben nog nooit zoiets meegemaakt als dit", zegt Rob Wainwright van Europol daarover.
De aanval mikte vooral op bedrijven, wat consistent is met het 'zakenmodel' van ransomware. Bedrijven hebben vaker belangrijke gegevens, en ze hebben ook meer geld om hackers te betalen. Computers die gegijzeld werden door de ransomware werden voor 300 dollar in bitcoins (ongeveer 275 euro) weer vrijgegeven.
Blaam voor de NSA
De Wannacry ransomware maakt gebruik van een lek in het besturingssysteem SMB Server en het werd oorspronkelijk ontwikkeld door de Amerikaanse inlichtingendienst NSA. Die hield kennis over het lek met andere woorden voor zich, om het achterpoortje te kunnen gebruiken. De ransomware werd echter zelf buitgemaakt door hackers.
Voor Microsoft-voorzitter Brad Smith is het alvast welletjes geweest. "Deze aanval is een nieuw voorbeeld van waarom de opslag van gevoeligheden door de overheden zo'n groot probleem is", schrijft hij in een blogpost. "Dit is een patroon dat steeds vaker voorkomt in 2017. Exploitaties in de handen van overheden zijn al vaker gelekt geweest naar het publieke domein en hebben zo grote schade veroorzaakt", aldus Smith.
