Wannacry ransomware | Deloitte

Insights

WannaCry ransomware

Wat is het en hoe kun je het voorkomen?

Op vrijdag 12 mei was er een enorme ransomware cyber aanval. Deze aanval heeft meer dan 100 landen wereldwijd geraakt. Wat is WannaCry en hoe bescherm je jouw organisatie hier tegen?

15 mei 2017

Wat is WannaCry?

WannaCry is ransomware. Zodra dit virus actief is, versleutelt het je bestanden en geeft de data alleen vrij tegen betaling van een betaald bedrag. Het gebruikte een lek in Microsoft Windows (in de implementatie van de SMB protocol) om zich razendsnel te verspreiden via diverse netwerken. Microsoft heeft hiervoor al op 14 maart 2017 een patch uitgebracht.

Zodra een systeem is geïnfecteerd, scant die het interne netwerk om andere systemen te besmetten. Die systemen hoeven dan niet zelf met het internet verbonden zijn. Op die manier kon de ransomware zich snel en massaal verspreiden.

De exploit die WannaCry gebruikt, Eternalblue, was een van de tools die in april gelekt werden door hackinggroep TheShadowBrokers en die waarschijnlijk afkomstig zijn van de Amerikaanse Inlichtingendienst NSA

De SMB-exploit, en de ransomware die hem gebruikt, werkt op alle versies van Windows die SMB aan hebben staan en nog niet gepatcht zijn met de update MS17-010, die Microsoft op 14 maart uitbracht. Windows 10 en Windows Server 2016 zijn wel standaard beschermd tegen het lek. Populaire hacking frameworks (nmap en metasploit) hebben de kwetsbaarheid (MS17-010) geïmplementeerd wat exploiting gemakkelijk maakt.

De kill switch? Hoe werkt dit?

Een security-onderzoeker van de blog MalwareTech heeft ervoor gezorgd dat er niet nog meer slachtoffers gemaakt zijn. De malware is namelijk uitgerust met een kill switch (noodrem). Hierbij wordt er verbinding gemaakt met een toen nog ongeregistreerde domeinnaam. Op het moment dat de ransomware verbinding kan maken met deze domeinnaam, schakelt de worm functionaliteit zich uit om verdere verspreiding tegen te gaan.


De onderzoeker merkte dat het domein nog niet door de hackers geregistreerd was en kocht zelf de domeinnaam op. Hierdoor is erger voorkomen. Het is zeer waarschijnlijk dat in nieuwere versies deze kill switch niet meer aanwezig zal zijn, dus het blijft essentieel om de maatregelen hieronder uit te voeren De kill switch heeft geen invloed op computer die al besmet waren.

Wat kunnen organisatie doen om niet geïnfecteerd te raken?

Ten eerste: installeer de Microsoft security update voor Windows. Details over deze update vind je hier: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx. Microsoft adviseert de gebruikers van onder meer Windows 7 en Windows XP om zo snel mogelijk hun systeem te updaten. De patch genaamd MS17-010 die het lek moet dichten, is er ook voor het niet meer ondersteunende Windows XP. Zodra je de update hebt geïnstalleerd, werkt de verspreiding via de SMB exploit niet meer. Informeer hier de medewerkers ook over en zorg ervoor dat updates geïnstalleerd worden.                          

Wat moet je doen als je geïnfecteerd bent?

Zodra uw organisatie geïnfecteerd is, is er op dit moment nog niet veel dat er gedaan kan worden om de infectie ongedaan te maken. De machine moet je in ieder geval van het netwerk afkoppelen en hem uitzetten. 

Is uw organisatie geïnfecteerd? Dan kunt u ook contact opnemen met het Deloitte reponse team dat klaar staat om u te woord te staan of support te bieden (24 uur per dag). 

WannaCry in de media

De afgelopen dagen zijn er diverse Deloitte professionals gevraagd om hun kennis en mening over deze aanval te delen in de media. 

Inge Philips-Bryan heeft bijgedragen aan een interview op WNL, deze kunt u hier terugluisteren. Ook heeft zij een bijdrage geleverd aan een item op BNR. Dit item is hier terug te horen

Ook was Jeroen Slobbe aan het woord bij BNR. Luister hier het fragment terug

Meer informatie

Heeft u hier vragen over? Dan kunt u contact opnemen met Inge Philips-Bryan of Jelle Niemantsverdriet. Voor meer informatie over deze aanval, verwijzen wij u naar de website van NCSC

Vond u dit nuttig?

Gerelateerde onderwerpen