Edwin van Andel was vanochtend te horen bij BNR om meer uit te leggen over de ransomware aanval die afgelopen weekend heeft huisgehouden. Luister het hele item hier en lees hieronder een samenvatting van de gebeurtenissen.
Op vrijdag 12 mei 2017 kwam een bericht naar buiten over Britse ziekenhuizen die waren getroffen door ransomware. Aan het begin van avond waarschuwde het NCSC (Nationaal Cyber Security Centrum) ‘vitale sectoren’ in Nederland zoals engergiebedrijven en ziekenhuizen.
Enige tijd geleden is er veel informatie van de NSA gestolen. Daarin werd een mogelijkheid gevonden om misbruik te maken van een kwetsbaarheid in verschillende versies van het besturingssysteem Windows. De ransomware ‘WannaCry’ maakt gebruik van een kwetsbaarheid in een Microsoft Windows SMB Server, waar Microsoft afgelopen maart een beveiligingsupdate voor heeft uitgebracht (MS17-010). Deze is helaas niet door alle PC-gebruikers geïnstalleerd. Via deze kwetsbaarheid kun je op afstand iets plaatsen op de computer van een ander. Normaal krijgen mensen ransomware binnen via een e-mail; dan klikt men op een bijlage waar de ransomware in zit, waarna deze verspreid wordt. Het verschil is nu dat de ransomware van een afstand op computers gezet kan worden en zich door netwerken kan verspreiden.
Het virus kon zo snel om zich heen grijpen omdat het programma een zeldzame combinatie is van ransomware en een worm virus. Daardoor worden niet alleen computers besmet van gebruikers die op verkeerde linkjes klikken, maar ook alle andere onbeveiligde computers die op hetzelfde netwerk zijn aangesloten.
Inmiddels is de verspreiding van de ransomware gestopt. De massale cyberaanval heeft computers in 150 landen geïnfecteerd. De Britse gezondheidszorg lijkt het ergst getroffen. De BBC geeft aan dat er ruim 40 instellingen zijn getroffen, waardoor operaties en afspraken zijn geannuleerd. Ook de Duitse spoorwegen en de Franse autofabrikant Renault zijn slachtoffer geworden. In Nederland lijkt het mee te vallen; alleen parkeerbedrijf Q-park is getroffen en meerdere parkeergarages in Nederland hebben daar last van.
De ransomware ‘WannaCry’ zal zich in deze vorm niet meer verder verspreiden. Researcher MalwareTechBlog onderzocht de ransomware en ontdekte dat de software communiceerde met een website. Hij ontdekte tevens dat deze website niet geregistreerd was en registreerde deze vervolgens, waardoor hij per ongeluk de ‘killswitch’ vond. Hierdoor stopte de verspreiding van de ransomware. Cyber Security Consultant David Kennedy vertelt hier meer over op CNN.
We moeten er rekening mee houden dat de worm-component van deze cyberaanval zeer eenvoudig aanpasbaar is en dat de code op straat ligt. Je kunt van ransomware-ontwikkelaars verwachten dat ze deze worm snel overnemen en gaan gebruiken voor nieuwe ransomware campagnes. Dit zou deze week al kunnen gebeuren. Bedrijven wordt zeer dringend geadviseerd om MS17-010 te patchen om de kans op dit type ransomware te verminderen. Lees hier meer over de mogelijkheid op nieuwe cyberaanvallen.
Written by Zerocopter
May 15, 2017