Honderden bedrijven zijn gisteren opgeschrikt door een grote ransomwareaanval. Door het Wana Decryptor-virus werden tienduizenden computers gegijzeld, wat tot veel chaos leidde. Inmiddels is de aanval gestopt door een beveiligingsonderzoeker, maar experts waarschuwen dat de Wana-aanval het begin is van een veel groter probleem. Laten we eens op een rij zetten wat we na 24 uur weten over de ransomware-aanval.
Wat gebeurde er precies?
De wereldwijde aanval begon vrijdagmiddag rond 14.00 in Engeland, toen 16 ziekenhuizen werden getroffen door een virus dat computers vergrendelde en bestanden versleutelde. De aanval werd na ongeveer een uur bevestigd door de Britse NHS, de 'National Health Service' die de ziekenhuizen overziet. Door de middag heen werden meer en meer ziekenhuizen geïnfecteerd.
Door de middag heen kwamen er berichten binnen van over de hele wereld van bedrijven en instanties die werden geraakt. Zo werd ook het Russische Ministerie van Binnenlandse Zaken getroffen, waarbij 1.000 computers van het departement onbruikbaar werden verklaard. Ook verschenen er tweets van de Wana-ransomware die de Deutsche Bahn had getroffen.
Aanvallen over de hele wereld
Kort na de Britse aanval bleek ook de Spaanse telecomprovider Telefonica slachtoffer te zijn van een aanval, maar later bleken niet alleen die twee instellingen te zijn geraakt.
Uiteindelijk werden wereldwijd meer dan honderdduizend computers getroffen. De New York Times maakte een animatie van de plekken waar de ransomware uiteindelijk toesloeg.
In de loop van de dag werd al wat meer duidelijk over de schade van de ransomware. Uit ziekenhuizen kwamen berichten dat patiënten hun niet-essentiële operaties moesten verzetten, en veel bedrijven lagen lange tijd plat.
Wana Decrypt0r
De aanval werd uitgevoerd door de Wana Decrypt0r-ransomware, ook bekend onder de namen Wanna, WannaCry en WannaCryptor. Specifieker gaat het om Wanna Decrypt0r 2.0-versie, een verbeterde versie van de WCry-ransomware die in maart voor het eerst de ronde deed.
Wana Decrypt0r is een vorm van ransomware die bestanden versleutelt en een pop-up op het scherm plaatst waarin losgeld wordt geëist van 300 dollars in bitcoin. De malware versleutelt bestanden AES-128-encryptie, met de extensie .wnry, .wcry, .wncry of .wncrypt.
Inmiddels hebben meerdere beveiligingsbedrijven de ransomware nader bestudeerd. Je kunt onder andere hier lezen hoe die in elkaar zit
Wana Decrypt0r maakt gebruik van een lek in het SMB-protocol van Windows
-
SMB-protocol
Wana Decrypt0r maakte misbruik van een bekend lek in het SMB-protocol in Windows (Server Message Block), dat wordt gebruikt om verbinding te leggen met andere Windows-apparaten binnen een netwerk.
Onbekende attack vector
De aanvalsmethode van de ransomware is voorlopig nog vaag. Meestal wordt dergelijke ransomware via phishing-aanvallen verspreid, met emails met Word-bijlages die vragen om macro's in te schakelen. Maar omdat deze ransomware van een SMB-exploit gebruik maakt is het niet ondenkbaar dat de aanval ook van een afstandje wordt uitgevoerd - al lijkt dat minder logisch omdat de aanval niet op specifieke bedrijven lijkt te zijn gericht.
Opvallend is dat het lek in het SMB-protocol al ruim 2 maanden bekend is. Het gaat namelijk om een cyberwapen dat de NSA gebruikte voor aanvallen, genaamd EternalBlue. EternalBlue werd in maart van dit jaar bekend toen de notoire hackersgroep Shadow Brokers een groot aantal cyberwapens van de Amerikaanse inlichtingendienst openbaar maakte.
Patch al 2 maanden beschikbaar
Microsoft heeft al vrij snel na het lek van Shadow Brokers een patch uitgebracht voor Windows 7, 8 en 10. Inmiddels is er zelfs een patch vrijgekomen voor Windows XP, hoewel dat besturingssysteem al sinds juni 2014 end-of-life is en geen officiële beveiligingsupdates meer krijgt. Desondanks draaien veel instellingen (waaronder ook de Nederlandse overheid) nog op Windows XP, al zijn er speciale (en dure) afspraken gemaakt om toch nog betaalde beveiligingsupdates te krijgen. Het is alleen moeilijk te zeggen welke getroffen instellingen wel of juist niet voor die extended support betaalden.
Er is al ruim 2 maanden een patch beschikbaar
-
Geen gerichte aanval
Het is nog niet bekend wie er precies achter de aanval zit. Niemand heeft het nog opgeëist, en in de broncode zijn voorlopig nog geen verwijzingen gevonden naar bijvoorbeeld het land van herkomst. Het lijkt erop dat de aanval niet gericht was op één specifieke instelling. Dat was bijvoorbeeld te zien aan de aard van de malware: die had geen persoonlijke boodschap maar een algemene tekst, en het losgeld werd in Amerikaanse dollars genoemd terwijl de aanval aanvankelijk op Britse instellingen was gericht.
Maar ook als je kijkt naar de verspreidingsmethode van Wana blijkt dat het gaat om een algemene aanval. Wana maakt namelijk gebruik van een lek in SMB waardoor kwetsbare systemen makkelijk via internet te vinden waren.
Weinig geld verdiend
Ondanks de schaal van de aanval lijken de aanvallers, wie het ook zijn, er niet rijk van te zijn geworden. Wie de bitcoin-adressen van de daders in de gaten hield, zag dat er uiteindelijk in totaal zo'n 11 bitcoins aan losgeld zijn betaald - met de huidige koers is dat zo'n € 17.000,-.
Dit zijn een aantal adressen waarvan de transacties te volgen zijn:
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Overigens kreeg de bitcoin-koers na de aanval een flinke klap. Deels door de negatieve publiciteit in de media over de anonieme munt daalde de waarde van de bitcoin met zo'n 200 dollar.
Schuldvraag
De grote vraag is natuurlijk of bedrijven hadden kunnen voorkomen dat ze slachtoffer werden van zo'n aanval. Het is niet gek dat zoveel instellingen tijdelijk niet konden werken. Zelfs met de juiste backups duurt het volgens beveiligingsonderzoekers gemiddeld zo'n 5 dagen voor een bedrijf weer volledig operationeel is na een ransomwareaanval.
Bedrijven zijn over het algemeen vaker kwetsbaar voor ransomware. Dat komt omdat ze vaker geld over hebben voor het losgeld (uit een onderzoek van IBM blijkt dat maar liefst 70% van alle bedrijven betaalt na een aanval, en bij 20% van alle betalingen gaat het om 40,000 dollar of meer ), maar ook omdat het makkelijker is een bedrijf te infecteren. Je hoeft immers maar één medewerker te hebben die in een phishing-mail trapt of een geïnfecteerde usb-stick gebruikt om zo meerdere computers te besmetten - wat ook precies bij deze aanval gebeurde. Uit een eerder onderzoek van vorig jaar bleek bijvoorbeeld al dat 47% van alle NHS-instellingen slachtoffer werd van ransomware.
Gebruiken van zero-days
Maar de discussie over de schuldvraag gaat dit keer dieper, en dat komt door de exploit die werd misbruikt tijdens de aanval. De hackers maakten namelijk gebruik van een exploit die de NSA ook gebruikte. Er is al langer discussie over het gebruik van zero-days door instellingen zoals de NSA, die actief softwarelekken opspoort én opkoopt om verdachten te hacken. Ook in Nederland wordt gewerkt aan wetgeving om dat mogelijk te maken.
Lees ook: 'Dit zijn de dubieuze bedrijven die handelen in zero-days'.
Rondom de ethiek van het gebruik van zero-days is inmiddels veel discussie ontstaan. Sommige experts vinden het nodig voor het opsporen van criminaliteit, maar tegenstanders wijzen op de gevaren van die praktijk - zeker nadat de CIA vorige maand de controle verloor over tienduizenden gevoelige documenten met informatie over het gebruik van zero-days.
Er is veel discussie over het zoeken van zero-days door inlichtingendiensten
-
Kritiek op slachtoffers
Maar er is ook veel kritiek op de slachtoffers zelf, die zichzelf hadden kunnen beschermen tegen de aanval. De patch voor MS17-010 werd al op 14 maart uitgebracht. Beveiligingsonderzoekers die Wana op VM's en in testomgevingen hebben gedraaid bevestigen ook dat de ransomware niet meer werkt wanneer de juiste patches zijn geïnstalleerd. Systeembeheerders hebben dus ruim 2 maanden de tijd gehad om hun systemen te patchen om deze specifieke ransomware te voorkomen, dus slachtoffers die nu geraakt zijn liepen aantoonbaar achter met hun beveiliging.
Bovendien wijzen eerste berichten erop dat slachtoffers SMB open hadden staan op internet, waardoor ze makkelijk konden worden gevonden door de hackers. Ook dat wijzen veel experts af als onnodig risicovol gedrag.
Aanval per ongeluk gestopt
Beveiligingsexperts zagen de bui vrijdag al hangen: het zou een lang en heftig weekend gaan worden. De worm zou naar verwachting ook naar duizenden andere bedrijven verspreiden die pas maandag hun pc's weer zouden opstarten, en dan prompt slachtoffer zouden worden. Buiten genoeg preventie en het maken van backups leek er aanvankelijk weinig te doen aan het virus, tot een security-researcher die tweet onder de naam @MalwareTechBlog per ongeluk een oplossing vond waardoor het virus vrijwel in één klap werd gestopt.
@MalwareTechblog reverse-engineerde de malware en ontdekte dat die begon met het checken van een specifieke domeinnaam, bestaande uit een willekeurige rij tekens: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/. Wat dat deed, was hem niet duidelijk, maar toen hij zag dat die domeinnaam niet bestond registreerde hij hem - en plotseling hielden de aanvallen op. Blijkbaar had @MalwareTechblog een killswitch ontdekt, waarbij de ransomware verbinding maakt met de url, en het virus niet uitvoert als die url blijkt te bestaan. Zo konden de makers het virus op ieder moment uitschakelen als ze dat zouden willen.
De onderzoeker beschreef zijn acties op zijn blog.
Einde?
Sindsdien lijkt de aanval grotendeels tegen te zijn gehouden. Toch is niet alles opgelost, want het gaat nog wel even duren voor alle getroffen systemen weer naar behoren werken. Ook is de kans groot dat er binnenkort een nieuwe aanval plaatsvindt, maar dan iets aangepast. Experts zijn het over één ding in ieder geval eens: alle angst en waarschuwingen voor grootschalige ransomwareaanvallen waren compleet terecht.