WannaCry for Dummies
Een aantal weken geleden werd de IT-wereld opgeschrikt door het fenomeen "WannaCry". Social media pikten deze vorm van ransomware razendsnel op, waarna deze viral ging. De kranten stonden er vol van en met grote chocoladeletters werd verkondigd dat dit één van de grootste aanvallen ooit was op het gebied van cybercrime. Zelfs de NOS en RTL journaals schroomden niet dit item aan te pakken als wereldnieuws.
Natuurlijk zijn deze berichten zeer beangstigend als je geen achtergrond hebt in IT-security en zelfs buren kwamen om raad vragen of ze de computer nu wel moesten aanzetten.
In deze blog leg ik in Jip en Janneke taal uit wat er is gebeurd.
Door Rudy Baving
Het begon bij de Spaanse telecomreus Telefonica. Zij gaven op 12 mei aan slachtoffer te zijn geworden van een grootschalige wereldwijde ransomware-campagne.
Ransomware is letterlijk vertaald gijzelsoftware. Het infecteert computers met een kwaadaardige code die ervoor zorgt dat bestanden versleuteld worden. Tegen betaling zijn bestanden weer te ontsleutelen. Althans, dat wil de software doen geloven. Er zijn veel gevallen bekend van mensen die na betaling nog steeds geen toegang kregen tot hun bestanden.
Kort nadat Telefonica het nieuws naar buiten bracht, zijn er soortgelijke besmettingen gemeld van organisaties die verbonden waren met de Britse NHS (National Health Service) alsmede talrijke andere organisaties over de gehele wereld variërend van autofabrieken tot de Duitse Spoorwegen. Security bedrijf Kryptos Logic stelde op 29 mei dat er wereldwijd waarschijnlijk 727.000 unieke ip-adressen door WannaCry zijn geraakt, verspreidt over praktisch elk met internet-verbonden land.
Wat doet de WannaCry ransomware?
WannaCry ransomware besmet de computer met kwaadaardige software, ook wel malware genoemd. Na besmetting zijn bestanden van de gebruiker versleuteld. De gebruiker krijgt een waarschuwing op zijn computer, dat de bestanden tegen betaling van $300 in Bitcoin (een vorm van elektronisch geld) weer worden vrijgegeven.
Als het slachtoffer niet binnen drie dagen betaalt, wordt het bedrag verdubbeld naar $600. Na zeven dagen beweert WannaCry dat alle gecodeerde bestanden permanent worden verwijderd.
Hoe kunnen computers besmet raken?
De boosdoener heet de "EternalBlue" exploit. Dit is een tool die gebruik maakt van eerder onbekende kwetsbaarheden in oudere versies van Microsoft Windows-besturingssystemen, zoals bijvoorbeeld Windows XP maar ook Windows 8. De aanvallers gebruikten deze tool om kwetsbare systemen te identificeren, zodat ze vervolgens besmet konden worden met de WannaCry ransomware.
Wie heeft deze tool onwikkeld?
Het National Security Agency (NSA) heeft EternalBlue naar verluidt een jaar geleden ontwikkeld. Medio 2016 begon een groep genaamd "The Shadows Brokers" met het openbaar maken van informatie over deze NSA-tools. Dit delen van informatie komt veelvuldig voor de laatste jaren. Denk hierbij aan Edward Snowden en Julian Assange, die als voorvechters van transparantie de wereld willen waarschuwen voor de vermeende praktijken die de NSA gebruikt om mensen te kunnen bespioneren. In april 2017 werd EternalBlue bekendgemaakt aan het publiek. Kort daarop zagen de bedenkers van WannaCry hun kans de tool in te zetten met de wereldwijde uitbraak tot gevolg.
Kan elke computer besmet raken?
Iedereen die een computer draait op een niet tijdig bijgewerkt Microsoft Windows-besturingssysteem dat gebruik maakt van SMBv1 is mogelijk gevoelig. SMBv1 (volledig Server Message Block versie 1) is een protocol voor het delen van netwerkbestanden en bevat het beveiligingslek waarmee WannaCry zijn kans ziet om de computer te besmetten en zich te verspreiden over meerdere computers. Windows 10 systemen kunnen niet door WannaCry worden besmet.
Denkt u nu dat u misschien ook vatbaar bent?
Als u erachter komt dat uw computer gevoelig is voor besmetting, is er nog niet direct iets aan de hand. Microsoft heeft bijna twee maanden voordat WannaCry actief werd een patch uitgebracht die het gat waar WannaCry uw computer mee kan besmetten dichtmaakt.
Het enige dat u dient te doen, is uw computer up to date houden en gebruik maken van legale Microsoft producten. Zo bent u ervan verzekerd dat de ontwikkelaar (in dit geval Microsoft) uw besturingssysteem ondersteunt. Op de website van Microsoft kunt u informatie vinden over nog ondersteunde besturingssystemen (tip: Windows XP wordt niet meer ondersteund door Microsoft al hebben ze voor deze specifieke kwetsbaarheid nog wel een patch uitgebracht).
Wat kunnen we leren uit deze aanval?
Belangrijk is, zoals hierboven ook vermeld, dat u uw computer(s) up-to-date houdt. Wanneer de computer aangeeft dat er belangrijke updates beschikbaar zijn, installeert u deze gelijk. Heel vervelend natuurlijk als de computer weer moet worden herstart, maar denkt u eens in dat u door uw uitstellend gedrag geen toegang meer hebt tot al uw bestanden waaronder klantdata, financiële cijfers, medische dossiers etc. Bedrijven dienen een gedocumenteerd patchbeleid te hebben dat strikt wordt nageleefd. Het geeft te denken dat publieke instellingen en organisaties slachtoffer van WannaCry werden terwijl de Microsoft patch al bijna twee maanden beschikbaar was toen de eerste besmetting werd gemeld. Twijfelt u of u een patch moet installeren? Vulnerability management systemen geven aan welke patches van (kritisch) belang zijn.
Verdere tips?
De beste tip (naast het up to date houden van uw besturingssysteem) is backups maken. Ook dit kost even tijd, maar loont de moeite. Graag wel even op een externe gegevensdrager. Zo zorgen we ervoor dat wanneer we toch ooit slachtoffer worden en besmet raken, we tenminste onze belangrijkste bestanden nog elders hebben opgeslagen. Verder is het verstandig om SMB ter voorkoming van eventuele vergelijkbare incidenten onbereikbaar voor internet te maken. Bedrijven kunnen hun afhankelijkheid van patches en updates verkleinen door ‘layered security’ toe te passen.
6 jaren geleden