web analytics

WannaCry ransomware. De story

Print Friendly, PDF & Email

Wat gebeurde er?

Een zich heel snel verspreidend ransomware malware luisterend naar de naam Wanna (aka WannaCry, WCry, WanaCrypt, WanaCrypt0r en Wana DeCrypt0r) hield vrijdag ll. computer systemen overal ter wereld gegijzeld. Grote bedrijven zoals de National Health Service hospitals (NHS) in het Verenigd Koninkrijk werden zwaar getroffen met zowel telefoonlijnen als IT systemen gegijzeld.

De malware vercijferde de bestanden van zijn slachtoffers en veranderde de extentie naar: .wnry, .wcry, .wncry en .wncrypt. Dan werd het slachtoffer geconfronteerd met een gijzelnota met een vraag naar losgeld:

Een geluk bij een ongeluk.

Het had allemaal veel erger kunnen zijn had een toevallige ontdekking van een IT-onderzoeker met Twitter handle @MalwareTechBlog geen soort van kill switch gevonden in de code. Hij deelde een gedetailleerd verslag van zijn ontdekking hier. In zijn berichtje schreef hij:

One thing that is very important to note is our sinkholing only stops this sample and there is nothing stopping them removing the domain check and trying again, so it’s incredibly important that any unpatched systems are patched as quickly as possible.

Analyse van de malware lijkt te bevestigen dat de aanval gebeurde door gebruik te maken van verdachte NSA code gelekt door een groep van hackers gekend onder de naam Shadow Brokers. De malware gebruikt een variante op ShadowBrokers’ APT EternalBlue Exploit (CC-1353). Daarnaast gebruikt het ook sterke vercijfering op bestanden zoals documenten, afbeeldingen en video’s.

Maar ditmaal was de aanval anders dan vorige ransomware aanvallen. Waarom?

De WannaCry aanval is anders verlopen dan de vorige type van malware aanvallen in die zin dat typische ransomware aanvallen via een e-mail gebeuren, met daarin een link of een bijlage waar de gebruiker op klikt en zo besmet raakt.
In dit geval misbruikte de malware  een remote code execution (RCE) lek welke toeliet om niet up-to-date machines te besmetten zonder enige tussenkomst van de gebruiker.

Daardoor was het voor de malware mogelijk om zich, net zoals de Slammer en Conficker wormen zo’n 10 jaar geleden, vliegensvlug te verspreiden.

WannaCry misbruikte een Windows lek waarvoor Microsoft reeds in maart een update voor had verspreid. Het lek bevond zich in de Windows Server Message Block (SMB) dienst, die Windows computers gebruiken om bestanden en printers te delen over je lokaal netwerk. Microsoft besprak het probleem in zijn MS17-010 bulletin.

Bedrijven durven nog wel eens oudere code draaien omwille van compatibiliteit met in-huis geschreven software, waardoor vooral niet langer ondersteunde versies van Windows (zoals Windows XP) hard getroffen werden. Microsoft ging zelf zo ver om de veiligheidsupdate voor platformen met speciale ondersteuning  (zoals Windows XP)  voor iedereen beschikbaar te maken. De software reus zei in een bericht:

We know some of our customers are running versions of Windows that no longer receive mainstream support. That means those customers will not have received the Security Update released in March. Given the potential impact to customers and their businesses, we made the decision to make the Security Update for platforms in custom support only, Windows XP, Windows 8, and Windows Server 2003, broadly available for download here.

Is het gevaar geweken?

Hoogst waarschijnlijk niet. Met de code van de aanval van vrijdag laatstleden beschikbaar ‘in the wild’ op het net, mogen we ons aan zogenaamde copycats verwachten die van de gelegenheid gebruik gaan maken om munt te slaan uit de huidige situatie.

En voor ons, Linux gebruikers?

Aangezien in het geval van WannaCry geen enkele menselijke interventie nodig was om besmet te geraken ten gevolge van het type lek dat misbruikt werd, moeten we ons goed realiseren dat het van het grootste belang is onze systemen steeds up to date houden.

Indien je nog zou werken met een oudere versie van je distro, die geen updates meer binnenkrijgt, is het heel belangrijk om zo snel mogelijk een recentere versie van je distro te installeren.

658 totaal aantal vertoningen, 8 aantal vertoningen vandaag

4 (80%) 1 vote

1 Reactie

  1. Pingback: Wannacry ransomware : Het verhaal

Geef een reactie

%d bloggers liken dit: