Met name het Spaanse telecommunicatiebedrijf Telefónica was het slachtoffer, evenals ziekenhuizen in het hele Verenigd Koninkrijk. Volgens The GuardianDe Britse aanvallen troffen ten minste zestien faciliteiten van het National Health System (NHS) en brachten rechtstreeks de informatietechnologiesystemen (IT) in gevaar die worden gebruikt om de patiëntveiligheid te garanderen.
Aanbevolen video's
Avast
De WanaCryptOR, of WCry, ransomware is gebaseerd op een kwetsbaarheid die werd geïdentificeerd in het Windows Server Message Block-protocol en werd gepatcht in Microsoft's patch dinsdag van maart 2017 beveiligingsupdates,
meldt Kaspersky Labs. De eerste versie van WCry werd in februari geïdentificeerd en is sindsdien in 28 verschillende talen vertaald.Microsoft heeft gereageerd op de aanval met zijn eigen Windows Security-blogpost, waarin het de boodschap versterkte dat momenteel ondersteunde Windows-pc's met de nieuwste beveiligingspatches veilig zijn voor de malware. Bovendien was Windows Defenders al bijgewerkt om realtime bescherming te bieden.
“Op 12 mei 2017 hebben we een nieuwe ransomware ontdekt die zich als een worm verspreidt door gebruik te maken van kwetsbaarheden die eerder zijn opgelost”, zo begon Microsofts samenvatting van de aanval. “Hoewel beveiligingsupdates op de meeste computers automatisch worden toegepast, kunnen sommige gebruikers en bedrijven de implementatie van patches vertragen. Helaas lijkt de malware, bekend als WannaCrypt, computers te hebben getroffen die de patch voor deze kwetsbaarheden niet hebben toegepast. Terwijl de aanval zich ontvouwt, herinneren we gebruikers eraan om MS17-010 te installeren als ze dat nog niet hebben gedaan.”
De verklaring vervolgde: “Microsoft antimalware-telemetrie heeft onmiddellijk tekenen van deze campagne opgepikt. Onze expertsystemen gaven ons inzicht en context in deze nieuwe aanval terwijl deze plaatsvond, waardoor Windows Defender Antivirus realtime verdediging kon bieden. Door geautomatiseerde analyse, machinaal leren en voorspellende modellen konden we ons snel beschermen tegen deze malware.”
Avast speculeerde verder dat de onderliggende exploit was gestolen van de Equation Group, waarvan wordt vermoed dat deze banden heeft met de NSA, door een hackergroep die zichzelf ShadowBrokers noemt. De exploit staat bekend als ETERNALBLUE en wordt door Microsoft MS17-010 genoemd.
Wanneer de malware toeslaat, verandert deze de naam van de getroffen bestanden zodat deze de extensie “.WNCRY” bevat en wordt een “WANACRY!” markering aan het begin van elk bestand. Het plaatst ook het losgeldbriefje in een tekstbestand op de computer van het slachtoffer:
Avast
Vervolgens geeft de ransomware een losgeldbericht weer waarin tussen de $300 en $600 aan bitcoin wordt gevraagd en worden er instructies gegeven over hoe te betalen en vervolgens de gecodeerde bestanden te herstellen. Het taalgebruik in de losgeldinstructies is merkwaardig nonchalant en lijkt op wat je zou kunnen lezen in een aanbieding om een product online te kopen. In feite hebben gebruikers drie dagen de tijd om te betalen voordat het losgeld wordt verdubbeld en zeven dagen voordat de bestanden niet langer kunnen worden hersteld.
Avast
Interessant genoeg werd de aanval vertraagd of mogelijk gestopt door een ‘toevallige held’, simpelweg door een webdomein te registreren dat hardgecodeerd was in de ransomware-code. Als dat domein zou reageren op een verzoek van de malware, zou het stoppen met het infecteren van nieuwe systemen – als een soort ‘kill switch’ die cybercriminelen zouden kunnen gebruiken om de aanval af te sluiten.
Als De Guardian wijst erop, registreerde een onderzoeker, alleen bekend als MalwareTech, het domein voor $ 10,69, terwijl hij zich er niet van bewust was op het moment van de kill switch, en zei: “Ik was weg lunchen met een vriend en kwam rond 15.00 uur terug. en zag een toestroom van nieuwsartikelen over de NHS en verschillende Britse organisaties hit. Ik heb daar even naar gekeken en toen vond ik een voorbeeld van de malware erachter, en zag dat deze verbinding maakte met een specifiek domein dat niet was geregistreerd. Dus pakte ik het op zonder te weten wat het op dat moment deed.
MalwareTech registreerde het domein namens zijn bedrijf, dat botnets opspoort, en aanvankelijk werden ze ervan beschuldigd de aanval te hebben geïnitieerd. “In eerste instantie had iemand verkeerdelijk gemeld dat wij de besmetting hadden veroorzaakt door het registreren van het domein, dus dat heb ik gedaan een mini-freakout totdat ik besefte dat het eigenlijk andersom was en we het hadden gestopt”, vertelde MalwareTech aan The Voogd.
Dat zal echter waarschijnlijk niet het einde van de aanval zijn, omdat de aanvallers mogelijk de code kunnen wijzigen om de kill-schakelaar weg te laten. De enige echte oplossing is ervoor te zorgen dat machines volledig zijn gepatcht en de juiste malwarebeschermingssoftware gebruiken. Hoewel Windows-machines het doelwit zijn van deze specifieke aanval, MacOS heeft zijn eigen kwetsbaarheid aangetoond en dus moeten gebruikers van het besturingssysteem van Apple ervoor zorgen dat ze ook de juiste stappen ondernemen.
In veel beter nieuws lijkt het er nu op dat er een nieuwe tool is die de encryptiesleutel kan bepalen die door de ransomware op sommige machines wordt gebruikt, zodat gebruikers hun gegevens kunnen herstellen. De nieuwe tool, Wanakiwi genaamd, is vergelijkbaar met een andere tool, Wannakey, maar het biedt een eenvoudiger interface en kan mogelijk machines repareren waarop meer versies van Windows draaien. Als Dat meldt Ars Technica, gebruikt Wanakiwi een aantal trucjes om de priemgetallen te herstellen die zijn gebruikt bij het maken van de coderingssleutel, in feite door die getallen eruit te halen RAM als de geïnfecteerde machine ingeschakeld blijft en de gegevens nog niet zijn overschreven. Wanawiki maakt gebruik van enkele “tekortkomingen” in de Microsoft Cryptographic applicatieprogrammeringsinterface die door WannaCry en verschillende andere applicaties werd gebruikt om coderingssleutels te maken.
Volgens Benjamin Delpy, die hielp bij de ontwikkeling van Wanakiwi, werd de tool getest op een aantal machines met gecodeerde harde schijven en was het succesvol in het decoderen van een aantal ervan. Windows Server 2003 en Windows 7 behoorden tot de geteste versies, en Delpy gaat ervan uit dat Wanakiwi ook met andere versies zal werken. Zoals Delpy het stelt, kunnen gebruikers “Wanakiwi gewoon downloaden, en als de sleutel opnieuw kan worden samengesteld, wordt deze uitgepakt, gereconstrueerd (een goede) en wordt begonnen met het decoderen van alle bestanden op de schijf. Als bonus kan de sleutel die ik verkrijg, worden gebruikt met de malware-decryptor om deze bestanden te laten decoderen alsof je hebt betaald.
Het nadeel is dat zowel Wanakiwi als Wannakey niet werken als de geïnfecteerde pc opnieuw is opgestart of als de geheugenruimte met de priemgetallen al is overschreven. Het is dus absoluut een tool die moet worden gedownload en gereed moet worden gehouden. Voor wat extra gemoedsrust moet worden opgemerkt dat beveiligingsbedrijf Comae Technologies heeft geholpen bij het ontwikkelen en testen van Wanakiwi en de effectiviteit ervan kan verifiëren.
Jij kan download Wanakiwi hier. Decomprimeer de applicatie gewoon en voer hem uit, en merk op dat Windows 10 zal klagen dat de applicatie een onbekend programma is en dat je op "Meer info" moet klikken om hem te laten draaien.
Mark Coppock/Digitale trends
Ransomware is een van de ergste soorten malware, omdat het onze informatie aanvalt en achter sterke encryptie vergrendelt, tenzij we geld aan de aanvaller betalen in ruil voor een sleutel om deze te ontgrendelen. Er is iets persoonlijks aan ransomware waardoor het anders is dan willekeurige malware-aanvallen die onze pc's in gezichtsloze bots veranderen.
De beste manier om u tegen WCry te beschermen, is ervoor te zorgen dat uw Windows-pc volledig is voorzien van de nieuwste updates. Als u het Patch Tuesday-schema van Microsoft hebt gevolgd en op zijn minst Windows Defender gebruikt, dan zouden uw machines dat al moeten zijn beschermd – hoewel het hebben van een offline back-up van uw belangrijkste bestanden die niet kunnen worden aangetast door een dergelijke aanval een belangrijke stap is om nemen. In de toekomst zullen het de duizenden machines zijn die nog niet zijn gepatcht en die zullen blijven lijden onder deze specifieke wijdverbreide aanval.
Bijgewerkt op 19-05-2017 door Mark Coppock: Informatie toegevoegd over de Wanakiwi-tool.
Aanbevelingen van de redactie
- Ransomware-aanvallen zijn enorm toegenomen. Hier leest u hoe u veilig kunt blijven
- Hackers scoren met ransomware die eerdere slachtoffers aanvalt
