Geplaatst: 16-05-2017

Analyse WannaCry door het ilionx security team

Zoals u ongetwijfeld in het nieuws heeft vernomen, is er een effectieve cyberaanval actief die bestanden versleutelt. Deze zogenoemde ransomware heeft de naam WannaCry.

In de afgelopen dagen zijn kritieke processen bij diverse bedrijven, zorginstellingen en overheden verstoord. Middels deze update willen wij u graag op de hoogte brengen waarom deze cyberaanval zo effectief is en welke maatregelen u zelf kunt treffen.

Op 10 april 2017 is software onthuld die de Amerikaanse National Security Agency (NSA) onder andere gebruikt om zichzelf toegang te verschaffen tot computers op afstand. Deze software maakt misbruik van een, tot dan nog, onbekende kwetsbaarheid in Microsoft Windows (ook wel een 0-day genoemd). Het kunnen delen van bestanden staat als service standaard aan op Windows gebaseerde systemen. Hierdoor zijn miljoenen systemen vatbaar voor deze cyberaanval.

Microsoft heeft hier snel op gereageerd en een update uitgebracht. De reguliere update is op 14 maart 2017 uitgekomen en ook voor niet ondersteunde versies van Windows (2003 en XP) heeft Microsoft op 13 mei een update uitgebracht.

Cybercriminelen hebben de potentie van de kwetsbaarheid ingezien en een ransomware variant gemaakt om doormiddel van afpersing geld te verkrijgen. De aard van de kwetsbaarheid heeft ervoor gezorgd dat de ransomware zich heel snel op veel systemen heeft verspreid. Op 12 mei 2017 is de uitbraak begonnen en intussen zijn er meer dan 230.000 computers in circa 150 landen geïnfecteerd met een grote impact. Deze systemen bevinden zich onder andere bij de National Health Service in Engeland maar ook bij QPark in Nederland.

Analyse geeft aan dat de criminele organisatie een belangrijk aspect over het hoofd heeft gezien, namelijk dat de ransomware een techniek gebruikt om detectie te voorkomen. Deze techniek bleek niet volledig sluitend, waardoor de ransomware zichzelf niet meer kon verspreiden. Hierdoor is een groot gedeelte van Nederland bespaard gebleven.  

Intussen zijn er andere varianten van WannaCry opgedoken die deze zogenoemde "kill-switch" niet meer hebben en op deze manier niet meer zijn te stoppen. U bent hierdoor nog steeds kwetsbaar indien uw systemen niet voorzien zijn van de MS17-010 update van Microsoft. Deze wereldwijde cyberaanval laat zien hoe kwetsbaar organisaties zijn waar te weinig aandacht wordt besteed aan een actief updatebeleid.   

De ilionx security specialisten hebben deze cyberaanval uitgebreid geanalyseerd en delen de resultaten graag met u tijdens een persoonlijk gesprek. Tegelijkertijd geven wij u graag advies om tijdens een cyberaanval meer weerbaar te zijn en niet afhankelijk van een ad-hoc maatregel. U kunt onze specialisten bereiken via telefoonnummer 088 - 059 05 00.