Een encryptie Trojan genaamd “WannaCry” woedt sinds 12 maart 2017 en valt wereldwijd Windows systemen aan, inclusief kritieke infrastructuren, zij het nogal willekeurig. Dat de plundering van de digitale schatkamer van de NSA wereldwijd zo’n impact heeft, is echt beangstigend, vooral omdat Microsoft prompt na het bekend worden een patch voor zijn besturingssystemen uitbracht, lang genoeg voor deze golf van aanvallen. Het volgende artikel is een overzicht van WannaCry, de impact ervan en de beschermingsopties.
Inhoudsopgave
Wat was de oorzaak? Oorzaken van de verspreiding van WannaCry
Begin 2017 was het leedvermaak nog groot toen de hackersgroep Shadow Brookers de digitale schatkamer van de NSA overviel en exploits van het Equation Group-team van de NSA publiceerde. Daaronder bevond zich een kwetsbaarheid in de Windows file shares SMB, die Microsoft direct nadat het publiekelijk bekend werd, repareerde met MS17-010 (KB 4013389). Dit is waar de tragedie begint, aangezien Microsoft gewoon voorbijging aan stopgezette systemen zoals Windows XP of Windows Server 2003, hoewel juist deze systemen nog steeds worden gebruikt in bedrijven en bij de overheid.
De rest was dan gewoon het recycleren van oude modules van crypto-Trojans met aanpassing aan de nieuwe kwetsbaarheid en “WannaCry” was klaar, die ook bekend staat als Wana Decrypt0r 2.0 en zich sinds 12 mei 2017 wereldwijd verspreidt. De aanvallen worden op de klassieke manier uitgevoerd via e-mails, en worden ook verspreid binnen geïnfecteerde netwerken.
De Trojan versleutelt gevonden bestanden en gijzelt ze. De gegevens zouden tegen betaling van 300 US dollar via betaalmethoden als Bitcon weer worden vrijgegeven. Securelist heeft de besmetting en werkwijze van WannaCry gedocumenteerd in een blogpost.
Wereldwijde besmetting
De afpersers moeten meer dan verbaasd zijn over hun eigen succes. Systemen over de hele wereld zijn getroffen, niet alleen door particuliere gebruikers, met de focus duidelijk op Rusland.
In Duitsland was het meest prominente slachtoffer Deutsche Bahn, wiens beeldschermen niet alleen vertragingen vertoonden, maar ook het WannaCry afpersingsscherm.
Dat de verspreiding – ondanks de patch van Microsoft – wereldwijd zo snel ging, is te wijten aan twee factoren: enerzijds de onzorgvuldigheid van veel admins bij het verspreiden van patches en anderzijds de stap van Microsoft om de oude, nog veelgebruikte systemen zoals Windows XP voorlopig ongepatcht te laten.
Terugtrekken van Microsoft
Terwijl in Duitsland het Bundeskriminalamt al een onderzoek is gestart en het Bundesamt für Informationsschutz (BSI) voor de ransomware heeft gewaarschuwd, kon een Twitter-gebruiker een “noodschakelaar” in de Trojaanse code vinden en zo de verdere verspreiding ervan stoppen. Hij documenteerde de exacte ontdekking in een blogpost.
Microsoft van zijn kant probeert de schade te beperken en is vanwege de wereldwijde verspreiding genoodzaakt de stap te zetten om een patch beschikbaar te stellen voor systemen die al zijn afgeschreven, zoals Windows XP of Server 2003.
Schuldigen aanwijzen?
Intussen is Microsoft in het offensief gegaan en geeft vooral de Amerikaanse overheid de schuld van het verzwijgen en vervolgens laten stelen van bekende beveiligingslekken. De chief legal officer van Microsoft beschrijft het scenario zelfs alsof het Amerikaanse leger enkele van zijn “Tomahawk” kruisraketten zou stelen.
Een analyse zal later wellicht uitwijzen welke systemen (besturingssystemen) precies zijn getroffen. Het vermoeden rijst dat vooral oude XP-systemen zijn getroffen. Of Microsoft zijn verantwoordelijkheid kan afschuiven met het feit dat de ondersteuning voor deze systemen al in 2014 werd stopgezet, blijft niet alleen een ethische vraag.
Gebruikers van Windows 10 mogen in ieder geval blij zijn: de vaak bekritiseerde auto-update eis heeft erger op dergelijke systemen voorkomen en speelt daarmee Redmond recht in de kaart met hun argumentatie voor auto-updates.
Bescherming tegen soortgelijke aanvallen
Dreigend is de huidige pandemie van ransomware, die je eigen bestanden zoals documenten, foto’s of video’s versleutelt en alleen tegen betaling van losgeld weer mag vrijgeven. En goed advies over hoe u de situatie kunt verhelpen, als u zelf getroffen wordt, is duur. Tenzij je een goede back-up achter de hand hebt.
In ons artikel “Strategieën ter bescherming tegen Trojaanse paarden als Locky: de juiste back-up!” uit 2016 beschreven we al strategieën voor een goede back-up, maar ook de valkuilen van zo’n back-up, die nog steeds actueel zijn.