We Take Security Personally™

WANNACRY: PC OP SLOT? SLEUTEL KOPEN?

WANNACRY: PC OP SLOT? SLEUTEL KOPEN?

Grootschalige ransomware-uitbraak. En wat leren we hiervan?

Het nieuws van de Wannacry (of Wannacrypt en varianten daarop) ransomware-uitbraak deed in de afgelopen dagen bijna net zo snel de ronde als de uitbraak ervan zelf. En deze keer bleef het niet alleen bij niet-oplettende particulieren, maar zijn ook grote bedrijven en belangrijke instanties de dupe geworden van een ransomware-besmetting. Britse ziekenhuizen, ministeries, telecom providers, Renault, universiteiten, Fedex, maar ook de in Nederland bekende Q-Park parkeergarages zijn, naast natuurlijk wederom vele particulieren, besmet geraakt en zagen hun informatie en systemen onbruikbaar geworden. Computersystemen zijn wederom door geavanceerde versleuteling ontoegankelijk en de sleutel hiervoor wordt alleen na betaling van in dit geval € 300 weer vrijgegeven.

Naast de ellende die Wannacry veroorzaakt voor zowel zakelijk als privé gebruik, leert deze malware ons weer een duidelijke les. Zoals zo vaak toont deze aanval aan dat wij zelf voor een deel medeverantwoordelijk zijn voor de mogelijkheid van een aanval om succesvol te zijn, maar ook dat overheden en bedrijven een grotere verantwoordelijkheid hebben dan zij vaak willen aannemen. Deze Wannacry ransomware-aanval had veel minder impact hoeven hebben en had mogelijkerwijs niet eens de wereldwijde pers gehaald, wanneer op het juiste moment de juiste beslissingen waren genomen.

Wannacry richt zich alleen op een oude en bekende kwetsbaarheid in het Windows-platform die al direct na de ontdekking door Microsoft is voorkomen (zelfs voor oudere Windows systemen als XP en Vista). Alleen systemen die niet continu up-to-date zijn gehouden lopen dus een risico. Maar ook een up-to-date antimalware oplossing had veel leed kunnen voorkomen, zeker de antimalware-software die in staat is om afwijkend applicatie-gedrag te detecteren. En zoals bijna alle malware-besmettingen verspreidde Wannacry zich vooral via e-mailberichten en bijlages. Les één is nog steeds: niet klikken op wat je niet vertrouwt, niet in e-mail en niet op websites.

Maar inmiddels spelen ook overheden en overheidsinstanties een belangrijke rol bij cybersecurity en niet altijd de rol die men verwacht. Naast alle aandacht die men hier besteedt aan het beschermen van overheidsinstanties en de burger tegen allerlei vormen van cybercriminaliteit, spelen zij steeds vaker een actieve rol in de ontwikkeling of verspreiding van malware. In hun zoektocht naar kwaadaardige software ontdekken en ontwikkelen instanties als CIA en NSA vaak vormen van malware en exploits die zij actief benutten in hun strijd tegen cybercriminelen. Helaas verspreidt deze malware zich soms ook (ongewild of niet?) in de openbare wereld en komt in handen van cybercriminelen. Zo ligt ook de basis van deze uitbraak bij de NSA. Het is aan overheden om hier met goed en duidelijk beleid de grenzen te bewaken.

En tot die tijd:

Les 2. Zorg dat je pc altijd up-to-date is
Les 3. Zorg voor goede antimalware software
Les 4. Klik niet overal op en wees voorzichtig/wantrouwend
Les 5. Zorg voor een goede back-up

Meer specifiek en achtergrond informatie:

De malware maakt misbruik van een Microsoft-lek, ms17-010, op SBM/NETBIOS. Ook wel “ETERNALBLUE” of “DOUBLEPULSAR” genoemd. Er zijn al een tijdje actieve exploits en exploit-kits beschikbaar. Omdat het een worm-variant betreft, moeten ALLE machines in een netwerk deze patch geïnstalleerd krijgen.

Relaties van Secure Cyber Communications met de combinatie ESET Antivirus en Heimdal Security waren reeds beschermd tegen deze aanval. Alle versies van ESET detecteren de ransomware als Win32/Filecoder.WannaCryptor. Deze detectie is al aanwezig in de software sinds 06-04-2017. Heimdal Security blokkeert op gedrag, dns checks en de exploit zelf.

Voor informatie en de FAQ & Facts over deze ransomware uitbraak:
https://www.eset.com/nl/wannacryptor-ransomware/

Meer achtergrond artikelen:

MS Patch 17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
MS Patch voor XP/8.1/2003: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Hackernews: http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html
Pulse Artikel Brenno de Winter: https://www.linkedin.com/pulse/leren-van-wannacry-simpele-maatregelen-voorkomen-veel-de-winter
Heimdal blog: https://heimdalsecurity.com/blog/security-alert-wannacry-computers-vulnerable/
Voorbeeld Exploit & Metasploit: https://www.smittix.co.uk/exploiting-ms17-010-using-eternalblue-and-doublepulsar-to-gain-a-remote-meterpreter-shell/

“Secure Cyber Communications heeft vier WatchGuard Next Generation Firewalls als twee Clusters geleverd om de gegevensstromen te beveiligen en bedreigingen inzichtelijk te krijgen.”

- Project: Energieleverancier met meer dan 400.000 klanten

SecWatch