Wereldwijde cyber-aanval op Windows computersystemen

WannaCry, of WannaCrypt, of WanaCrypt0r 2.0 zijn ransomware programma's die werden op vrijdag 12 mei 2017 gelanceerd en gericht op Microsoft Windows. Tijdens de aanval waarbij meer dan 230.000 computers in 150 landen werden geïnfecteerd, werd betaling van losgeld in bitcoin in 28 talen geëist. Europol schreef dat de aanval op ongekende grote schaal was uitgevoerd. Deze was onder meer gericht op Telefónica, FedEx, Deutsche Bahn en de Britse National Health Service (NHS), maar ook andere bedrijven en overheidsinstanties werden met de besmetting geconfronteerd.

Ransomware is een soort kwaadaardige software die de cryptovirale afpersingsaanval uitvoert en de toegang tot gegevens op de computer blokkeert. Op de monitor verschijnt vervolgens een bericht waarin de betaling wordt gevraagd om het systeem te ontgrendelen, een losgeld.

WannaCry gebruikt de EternalBlue-exploitatie. EternalBlue exploiteert een beveiligingslek in de implementatie van Microsoft van het Server Message Block (SMB) protocol. Dit is door het Amerikaanse National Security Agency (NSA) ontwikkeld om computers aan te pakken, waar Microsoft Windows-besturingssystemen worden gebruikt. Hoewel een patch van Microsoft op 14 maart 2017 het onderliggende beveiligingslek heeft verwijderd, werden heel veel gebruikers waar vertraging ontstond door het toepassen van beveiligingsupdates, of gebruik maakten van niet-ondersteunde versies van Windows, kwetsbaar. Microsoft heeft de ongewone stap genomen om updates vrij te geven voor de niet-ondersteunde Windows XP en Windows Server 2003 en patches gemaakt voor de Windows 8 besturingssystemen.

(Bron Wikipedia - 2017)

Screenshot van de Wana Decrypt0r 2.0. De tekst is duidelijk: Send $ 300 worth of bitcoin to this address

Kort na de aanval op 12 mei werden meerdere coderegels gevonden door een anti-malware onderzoeker van Malware Tech, om als kill-switch te functioneren en door de onderzoeker werd geactiveerd. Dit stopte tijdelijk de verspreiding van het virus. De code werd aanvankelijk gemeld in de media als een ingebouwde kill switch. Dit is een noodstop (e-stop Emergency Power Off), een beveiligingsmechanisme, dat gebruikt wordt om een apparaat, of machine af te sluiten in een noodsituatie, waarin het apparaat niet op de gebruikelijke manier kan worden afgesloten. Sommige analisten concluderen echter, dat het een programmeringsfout was.

De aanval heeft veel van de National Health Service-ziekenhuizen in het Verenigd Koninkrijk ongeveer 70.000 apparaten beïnvloed, waaronder computers, MRI-scanners, koelkasten voor bloedopslag en theaterapparatuur. Op 12 mei 2017 moesten sommige NHS-diensten niet-kritieke noodgevallen afwenden en sommige ambulances werden doorgestuurd naar andere ziekenhuizen. In 2016 werden 42 NHS-trusts in Engeland gemeld, dat ze nog steeds op duizenden computers Windows XP draaiden en beter over konden gaan naar een vernieuwd systeem. Dat bericht werd genegeerd, met alle gevolgen van heden. Nissan Motor Manufacturing UK in Tyne and Wear, één van de meest productieve autofabrieken in Europa, stopte de productie, nadat de ransomware een aantal van hun systemen had geïnfecteerd. Renault stopte ook productie op meerdere locaties in een poging om de verspreiding van de ransomware te stoppen.

Parkeerbedrijf Q-Park in Nederland kreeg ook een ransomware besmetting in hun systeem in Hoofddorp, Ede, Rotterdam, Gouda en Veenendaal, waardoor de mensen in de parkeergarages niet met hun creditcard konden betalen. Op hun website staat op dit moment (14 mei 2017 om 21 uur 15) een waarschuwing: 'You may experience difficulty in reaching your Q-Park country website. Expert teams are working on solving the problem'. Omdat de aanval in het weekeinde werd uitgevoerd, worden op maandagochtend 15 mei 2017 veel problemen verwacht als alle computers bij de bedrijven worden opgestart met een niet gepatcht Windows systeem.

Update: Waarschuwing van de Nederlandse politie:

De politie adviseert consumenten en vooral ook bedrijven zich tegen ransomware te wapenen door updates direct te installeren, antivirusprogramma’s te gebruiken en back-ups te maken van de gegevens op de computers. De politie raadt mensen ten zeerste af om te betalen voor de ontsleuteling van de systemen/bestanden, omdat hiermee deze criminaliteit wordt gefinancierd en in stand wordt gehouden. Het is allerminst zeker, of betaling leidt tot decryptie van de bestanden.

Hoe kunt u de kans op besmetting verkleinen?

* De kans op besmetting kan worden verkleind door besturingssystemen en programma’s altijd up-to-date te houden en door niet te surfen op het internet zonder antivirusprogramma’s;

* Open e-mail of links in mails van vreemden niet en al helemaal geen bijlage(n) van vreemde afzenders;

* Open ook geen e-mail van bekenden met links, of bijlagen die u eigenlijk niet verwacht. Controleer dit met de verzender via een ander kanaal dan de e-mail, of het bestand bewust is verstuurd;

*   Om u te wapen tegen ransomware is het aanbevolen regelmatig back-ups van uw bestanden te maken en deze niet met de computer verbonden te houden. Na een besmetting kunt u dan ook gewoon weer over uw bestanden beschikken;

*  Voor bedrijven: voorkom, dat geïnfecteerde systemen verbinding maken met de rest van het interne netwerk. Als uw computer is besmet geraakt: de Crypto Sheriff van No More Ransom

Dus, als uw organisatie, om welke reden dan ook, nog steeds op Windows XP, of Vista draait, wordt u ten zeerste aangeraden om de patch van Microsoft downloaden en installeren!