WannaCry-ransomware melding met talen

Waarom de ophef over de WannaCry-cyberaanval?

WannaCry is toch gewoon weer een nieuwe gijzelsoftware?

Dit bericht is geüpdatet op 16 mei 2017.

Waarom de ophef over de WannaCry-cyberaanval? Het is toch gewoon weer een nieuwe ransomware (gijzelsoftware) variant? Deels klopt dit, echter de gevolgen voor slachtoffers, vooral bij bedrijven, zijn vele malen groter dan bij andere ransomware infecties. Daarnaast is WannaCry (ook wel WannaCrypt, WanaCrypt0r 2.0 of Wanna Decryptor genoemd) goed voorbereidt. Dit laatste blijkt onder andere uit het grote aantal (28) talen dat ondersteund wordt door Wanna Cry.

WannaCry-ransomware melding met talen

Grote gevolgen

Het verschil is dat een met WannaCry geïnfecteerde computer niet alleen bestanden in het netwerk versleuteld, maar ook zoveel mogelijk anders Windows-computers probeert te infecteren. Onderstaande foto van een klaslokaal laat dit duidelijke zien. Steeds meer en meer computer raakten geïnfecteerd en toonde het Wanna Decrypt scherm.

Als gevolg van het feit dat een geïnfecteerde computer ook andere computer infecteerde resulteerde bij Q-Park Nederland in het buitenwerking raken van betaalautomaten, simpelweg omdat deze ook geïnfecteerd raakten.

WannaCry-ransomware infectie Q-Park Nederland

Niet alleen bestanden worden gegijzeld, maar WannaCry legt ook hele netwerken plat doordat de infectie niet beperkt blijft tot enkele PC’s. Dit in tegenstelling van het meerderndeel van de gijzelsoftware.

Bedankt NSA!

En de ransomware maakt gebruik van EternalBlue, een aanvalsmethode ontwikkelt door de NSA (National Security Agency) die lang geheim werd gehouden. Door deze geheimhouding was Microsoft niet op de hoogte van het Windows-lek waar EternalBlue gebruik van maakte.

De hackers groep The Shadow Brokers wisten de gegevens over het lek bij de NSA te stelen. Op 14 april 2017 brachten zij het lek naar buiten. Hierdoor kwam het waarschijnlijk ook in handen van de cybercriminelen achter WannaCry.

Microsoft heeft het lek overigens al op 14 maart 2017 gedicht. Bedrijven die slachtoffer zijn geworden hebben dus 2 maanden lang de kritische updates van Microsoft niet geïnstalleerd.

Kill switch

Een 22 jarige Britse security onderzoeker, bekend onder de Twitter-naam MalwareTech vond een zogenaamde kill switch. In de malware vond hij een controle op het bestaan van een domeinnaam, wanneer deze domeinnaam actief was, stopte WannaCry met zijn kwaadaardige werk op een geïnfecteerde machine. Het aantal slachtoffers stagneerde, maar korte tijd later kwam er een update van WannaCry zonder kill switch, het gevaar is dus nog lang niet geweken!

Om te zien hoeveel WannaCry slachtoffers betaald hebben om hun bestanden terug te krijgen en hoeveel geld de cybercriminelen tot nu toe verdiend hebben, kun je kijken op het Twitter-account @actual_ransom. Dit account plaatst automatisch updates over betalingen aan een 3-tal Bitcoins-account die gelinkt zijn aan WannaCry. In het weekend was het vrij rustig met betalingen, maar op maandag 15 mei 2017 komen er duidelijk veel meer betalingen binnen. Dit Twitter-account plaatst overigens elke 2 uur een overzicht van het totale bedrag dat in ontvangen op de dire Bitcoins-accounts.

Voorkoming

Om te voorkomen dat jezelf of je organisatie slachtoffer wordt van Wanna Cry is het zaak om ervoor te zorgen dat alle Windows computers voorzien zijn van de laatste updates. Omdat ook WannaCry zich verspreidt via e-mail, en het openen van een bijlage zorgt voor de infectie, is het goed om de tips van Veilig e-mailen te blijven volgen.

Update 16 mei 2017

Meerdere bronnen, waaronder Kaspersky Lab, melden inmiddels dat de malware zeer waarschijnlijk niet via e-mail is verspreid. Tot op heden zijn er namelijk geen e-mails gevonden die de malware verspreiden via een bijlage of een link. Of WannaCry computer geïnfecteerd heeft via gehackte websites of direct vanaf het internet wordt momenteel nog onderzocht.

Opvallend is wel dat iedereen vermoede dat deze aanval via malafide e-mails was uitgevoerd, mede omdat veruit de meeste ransomware via malafide e-mails wordt verspreid. Daarom blijft het wel belangrijk om op te letten met het openen van bijlagen en het klikken op links in e-mails.