Alles wat u moet weten over “WannaCrypt”

Afgelopen vrijdag (12 mei) dook er een nieuw stuk malware op dat zichzelf “WannaCry” aka. “WannaCrypt” doopte. De aanval gaat de geschiedenisboeken in als de grootste malware uitbraak tot op heden. Zo raakten er al meer dan 10 000 organisaties en 200 000 systemen van Windows gebruikers besmet in zo’n 150 verschillende landen. Bij deze besmettingen zitten ook enkele grote bedrijven zoals Renault, Deutsche Bahn, FedEx…

Landen getroffen door “WannaCry” ©Wikipedia

Ransomware is iets dat de laatste jaren meer en meer gebruikt wordt door hackers om geld van grote bedrijven buit te maken. Het kan makkelijk verspreid worden door links in phishing mails en maakt (eens geïnstalleerd) alle bestanden op het geïnfecteerde systeem onleesbaar tot een betaling wordt uitgevoerd.

Groot-Brittannië

Naast de in de inleiding vermelde bedrijven blijkt Groot-Brittannië het zwaarst getroffen te zijn door de aanval. Hier werden verschillende systemen van de Britse Nationale Gezondheidsdienst (NHS) geïnfecteerd. Hierdoor waren de IT-diensten binnen een 40-tal ziekenhuizen een tijd volledig onbeschikbaar.

De meeste systemen binnen de ziekenhuizen draaiden nog op het ongepatchte Windows xp en waren daarom ook heel makkelijk te infecteren door de bug in Windows. Het gaat hierbij niet enkel over desktops die getroffen werden, ook MRI-scanners en andere apparaten die werken met een Windows besturingssysteem werden onbruikbaar gemaakt.

Hoe gaat de malware te werk?

Op 12 mei 2017 moet het allemaal begonnen zijn doordat de maker van de malware deze via een kwetsbaarheid op een netwerk of door een gerichte phishing aanval uit te voeren heeft losgelaten op het internet. Nadat de malware geïnstalleerd wordt op het systeem checkt deze een bepaalde domeinnaam. Wanneer de malware op het domein niets terugvindt zal hij starten met het encrypteren van alle bestanden op het geïnfecteerde systeem. De check die de malware uitvoert diende dus eigenlijk om de analyse van de malware tegen te gaan. Deze ingebouwde check van een niet geregistreerd domein bleek ook later de “kill switch” te zijn.

Wanneer de gegevens geëncrypteerd zijn krijgt de gebruiker op het systeem de boodschap te zien dat zijn gegevens versleuteld zijn en enkel kunnen worden vrijgegeven nadat er 300 dollar via bitcoins wordt overgemaakt aan de maker van de ransomware. Na het betalen van de som worden de gegevens gewoon terug vrijgegeven (in de meeste gevallen).

Kill switch per ongeluk ontdekt

De code die de malware gebruikt om het domein te raadplegen. ©MalwareTech

Een 22-jarige computerdeskundige die onder de naam MalwareTech blogt en twittert vond op zaterdag 13 mei 2017 per toeval een manier om de verspreiding van de malware tegen te gaan.
Nadat hij de malware had uitgevoerd in zijn testomgeving zag hij dat deze verbinding probeerde te maken met een bepaald domein (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) dat niet geregistreerd was. Hij registreerde dit domein voor 10 dollar en 69 cent en wist aanvankelijk niet dat dit de verspreiding tijdelijk zou afremmen. Een collega die ook in het bezit was van een kopie van de malware wilde deze testen en zag dat de software de files niet meer encrypteerde. Hieruit bleek dat wanneer de domeinnaam geregistreerd is de malware niet wordt uitgevoerd.


©Malwaretech
Een kaart waarop te zien is vanuit welke landen de malware contact opneemt met de domeinnaam.
Deze map is hier ook live te volgen.

De maker van deze malware bouwde de request naar de niet geregistreerd domeinnaam vermoedelijk in om te voorkomen dat de malware in een sanboxomgeving (testomgeving) verder zou kunnen worden geanalyseerd.

Nu de kill switch is ontdekt is het gevaar echter nog niet geweken. Het domein stond vast in de malware geschreven, maar dit betekent dat wanneer er nieuwe varianten van de malware verspreid worden, (hetzij door de maker of door copy-cats) deze kunnen verwijzen naar een ander domein dat dan nog niet geregistreerd is. Deze methode zorgt er ook enkel voor dat de malware niet wordt uitgevoerd op nieuwe systemen waarop hij aanwezig is. Systemen die eerder al versleuteld werden worden echter niet vrijgegeven op deze manier.

De volledige blogpost omtrent hoe de kill switch werd ontdekt is terug te vinden op de blog van Malwaretech.

Immense verspreiding te danken aan de NSA?

De “WannaCrypt” cryptolocker kende de grootste verspreiding van ransomware ooit. Maar wat maakt dit stuk malware nu zo anders dan de anderen? Wel, een kwetsbaarheid in Windows genaamd EternalBlue. Deze kwetsbaarheid was terug te vinden in alle Windows systemen en maakte gebruik van een probleem bij de implementatie van het server message block (SMB) protocol. Dit protocol staat vooral in voor het uitwisselen van informatie tussen systemen en printers in het lokaal netwerk. De malware kan dus op deze manier makkelijk andere systemen in het intern netwerk infecteren. Het systeem moet daardoor nog niet eens echt verbonden zijn met het internet om besmet te geraken. Het volstaat dat hij gekoppeld is aan andere geïnfecteerde systemen. De problemen met het SMB-protocol werden op 14 april 2017 samen met andere kwetsbaarheden bekend gemaakt door het hackerscollectief “The Shadow brokers”. De verschillende zero-day kwetsbaarheden werden door het hackerscollectief buitgemaakt bij de NSA.

Zero-day vulnerabilities zijn kwetsbaarheden die door de fabrikant van de software nog niet gekend zijn. De NSA gebruikt deze kwetsbaarheden om gegevens uit bedrijven die de zwakke software gebruiken te ontvreemden.

Release van updates voor niet ondersteunde systemen

Door de grote omvang van de aanval heeft Microsoft naast updates voor Windows 8.1 en Windows 10 ook patches beschikbaar gesteld voor besturingssystemen die niet langer ondersteund worden.  Zo werden er patches beschikbaar gesteld voor Windows XP, Windows Vista en Windows server 2003.

Wat leert dit ons?

De beveiligingsupdate die het door de malware misbruikte lek moest dichten werd door Microsoft twee maanden geleden al beschikbaar gesteld. Alle systemen die geïnfecteerd werden waren dus nog niet geüpdatet. Wat we hieruit moeten leren is dat updates van computersystemen uiterst belangrijk zijn. Deze zorgen er namelijk voor dat je systeem zo goed mogelijk beschermd is.

De NSA is hierbij echter ook niet onschuldig. Nadat de kwetsbaarheden door het hackerscollectief werden opengesteld voor iedereen op internet duurde het nog enkele dagen alvorens de NSA Microsoft op de hoogte stelde van het probleem. Maar dit is nog altijd geen excuus om na twee maanden de laatste update nog steeds niet geïnstalleerd te hebben op uw systemen.

Dit voorval geeft volgens Microsoft nog maar eens weer dat het achterhouden van kwetsbaarheden door overheidsinstanties een groot probleem is dat moet aangekaart worden. Microsoft geeft ook nog meer uitleg omtrent “Wannacrypt” en wat we eruit moeten leren in deze blogpost.

Betaal in geen geval

Nu dat er wereldwijd veel computerdeskundigen bezig zijn met het verder onderzoeken van de malware worden enkele dingen duidelijk. Zo zou het betalen van de ransome niet altijd garant staan voor het decrypteren van uw bestanden. Het commando voor de decryptie moet door de aanvaller gegeven worden. In sommige gevallen werden de gegevens na betaling niet vrijgegeven.

Ondanks dat er meer dan 200 000 systemen getroffen zijn, hebben nog maar enkele mensen de ransome betaald. Zo heeft de hacker, op de in totaal 3 Bitcoin rekeningen gebruikt voor de aanval, zo’n 50 000 dollar ontvangen. Dit geeft aan dat weinig mensen blindelings betalen om dan uiteindelijk dikwijls hun gegevens toch niet terug te krijgen.

Nog lang niet voorbij

Zondag 14 mei 2017 doken al enkele nieuwe varianten op van de cryptolocker. De maker van de malware (of copy-cats) zullen er alles aan doen om de malware terug effectief te maken. Naar alle waarschijnlijkheid zullen ze de code van de ransomware aanpassen om een ander ongeregistreerd domein te raadplegen. In andere gevallen kan het zelfs zijn dat ze de check naar het domein volledig weglaten.

Deze week zullen er naar alle waarschijnlijkheid nog nieuwe varianten worden uitgestuurd via phishing mails. Zorg er dus zeker voor dat je Windows systeem de laatste updates heeft ontvangen.

Wat moet je doen om jezelf te beschermen?

Het is voldoende om de laatste update van Windows te installeren op de verschillende Windows systemen die je bezit. De update heeft de naam MS17-010 en is (wanneer automatische updates zijn ingeschakeld) al uitgevoerd op alle systemen waarop Windows 10, 8.1 of 7 is geïnstalleerd. Wanneer dit niet het geval is kan je de update handmatig downloaden via Windows update.

Wanneer je nog oudere varianten van Windows gebruikt (zoals Windows xp, vista of 8) die niet officieel meer ondersteund worden door Microsoft dan kan je de update hier handmatig downloaden.

Daarnaast is het aan te raden dat er op geregelde tijdstippen een bruikbare back-up wordt gemaakt van het systeem. Zo kan in het geval van een systeem dat geëncrypteerd wordt de back-up worden teruggezet.

Als laatste is het ook belangrijk te zorgen dat je virus en malwarebeveiliging up-to-date is. Alle providers van virusbeveiliging hebben ervoor gezorgd dat er functie beschikbaar is die “WannaCry” kan detecteren en blokkeren.

En tot slot, pas op met e-mails. Klik geen links aan in e-mails die er raar uitzien. Ook mails die zogezegd een factuur zouden bevatten die u eigenlijk niet verwacht zijn gevaarlijk. Op die manier kan de ransomware je netwerk binnendringen en andere systemen op het netwerk ook infecteren.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *