Alles wat u moet weten over WannaCry Ransomware

WannaCry ransomware, verantwoordelijk voor een van de meest beruchte wereldwijde malware-infecties ooit, wordt vandaag de dag nog steeds actief gebruikt door cyberaanvallers. Deze maand is het vier jaar geleden dat WannaCry wereldwijd netwerken decimeerde, van volledige gezondheidszorgsystemen tot banken en nationale telecommunicatiebedrijven.

Het is nog steeds dodelijk genoeg om nu te worden gebruikt, en er is een toename in meldingen van het verschijnen ervan tijdens de pandemie. Hier is alles wat u vandaag moet weten over WannaCry ransomware - inclusief hoe u uw organisatie ertegen kunt beschermen.

Wat is WannaCry Ransomware?

WannaCry ransomware is een crypto ransomware worm die Windows PC's aanvalt. Het is een vorm van malware die zich kan verspreiden van PC naar PC over netwerken (vandaar de "worm" component) en dan eens op een computer kan het kritieke bestanden versleutelen (het "crypto" deel). De daders eisen dan losgeld om die bestanden te ontgrendelen. De naam is afgeleid van de reeks codes die in enkele van de eerste monsters van het virus werd aangetroffen.

WannaCry is een "studie in vermijdbare rampen genoemd" omdat twee maanden voordat het zich in 2017 voor het eerst over de wereld verspreidde, Microsoft een patch uitbracht die zou hebben voorkomen dat de worm computers zou infecteren. [1] Helaas werden honderdduizenden systemen niet op tijd geüpdatet, en een onbekend aantal van dergelijke systemen is vandaag de dag nog steeds kwetsbaar.

Hoe infecteert WannaCry systemen?

WannaCry zou de zoveelste ransomware-aanval zijn, ware het niet dat het computers infecteert. Een kritieke kwetsbaarheid van Windows-systemen werd ontdekt en naar verluidt voor het eerst uitgebuit door de Amerikaanse National Security Agency. De exploit, EternalBlue genaamd, werd uiteindelijk in april 2017 online gedeeld door een cybercriminele hackgroep, en het stelde de makers van WannaCry in staat om Windows-systemen te misleiden om de code uit te voeren met behulp van het Server Message Block-protocol.

De manier waarop WannaCry zich verspreidt, is door bedrijfsnetwerken te gebruiken om naar andere Windows-systemen te springen. In tegenstelling tot phishing-aanvallen, hoeven computergebruikers niet op een link te klikken of een geïnfecteerd bestand te openen. WannaCry zoekt gewoon naar andere kwetsbare systemen om binnen te komen (in sommige versies gebruikt het gestolen referenties), kopieert dan het programma en voert het uit, opnieuw, en opnieuw, en opnieuw. Dus één kwetsbare computer in een bedrijfsnetwerk kan een hele organisatie in gevaar brengen.

Hoe werkt een WannaCry aanval?

Het WannaCry programma heeft verschillende componenten. Er is een primair leveringsprogramma dat andere programma's bevat, waaronder versleutelings- en ontsleutelingssoftware. Zodra WannaCry op een computersysteem staat, zoekt het naar tientallen specifieke bestandstypen, waaronder Microsoft Office-bestanden en foto-, video- en geluidsbestanden. Vervolgens voert het een routine uit om de bestanden te versleutelen, die alleen kunnen worden ontsleuteld met behulp van een van buitenaf geleverde digitale sleutel.

De enige manier voor een geïnfecteerde gebruiker om toegang te krijgen tot met WannaCry versleutelde bestanden is dus als hij een externe reservekopie van die bestanden heeft. Tijdens de eerste WannaCry-aanval was het enige redmiddel dat sommige slachtoffers hadden, het betalen van het Bitcoin losgeld. Helaas bleek uit rapporten dat nadat de bedrijven hadden betaald, de hackers de slachtoffers geen toegang tot hun bestanden gaven.

Waar is WannaCry ontstaan, en is het nog steeds actief?

In mei 2017 zaaide WannaCry wereldwijd paniek over bedrijfsnetwerken toen het snel meer dan 200.000 computers in 150 landen infecteerde. Onder die systemen werd de National Health Service van het Verenigd Koninkrijk ontregeld, de Spaanse telecomdienst Telefónica werd bedreigd en banken in Rusland werden gecompromitteerd. Hoewel het virus in één keer leek te verschijnen, traceerden onderzoekers later eerdere versies naar een Noord-Koreaanse organisatie die bekend staat als de Lazarus Group.

Er waren veel aanwijzingen begraven in de code van WannaCry, maar niemand heeft ooit de verantwoordelijkheid opgeëist voor het maken of verspreiden van het programma. Een onderzoeker ontdekte al vroeg in de cyberaanval dat het programma aanvankelijk toegang probeerde te krijgen tot een specifiek webadres dat een niet-geregistreerde nonsensnaam bleek te zijn. Als het programma in staat was om de URL te openen, zou WannaCry niet worden uitgevoerd, zodat het als een soort noodknop fungeerde. Bijgevolg registreerde de Britse onderzoeker Marcus Hutchins de URL en stompte hij effectief de verspreiding van de WannaCry ransomware af. [2]

Toch zijn er in de jaren daarna golven geweest van WannaCry-heroplevingen. Eén high-profile geval deed zich voor in 2018 bij Boeing. Uiteindelijk veroorzaakte het meer paniek dan daadwerkelijke schade, maar de productiviteit bij de vliegtuigmaker kreeg een klap.

Recentelijk hebben beveiligingsonderzoekers hernieuwde WannaCry-infecties gezien. Eén rapport noteerde een toename van 53% in WannaCry ransomware in maart 2021 vergeleken met januari van dit jaar, terwijl een ander rapport stelde dat WannaCry de top ransomware familie was die in januari in Amerika werd gebruikt met 1.240 detecties. Nog opmerkelijker: de nieuwste varianten die door hackers worden gebruikt, bevatten niet langer een kill-switch URL. [3]

Beschermen tegen Ransomware

Gelukkig zijn er cyberbeveiligingsstappen die elk bedrijf kan nemen om een WannaCry ransomware-aanval te voorkomen:

• Installeer de nieuwste software: Als de drie belangrijkste woorden in onroerend goed locatie, locatie, locatie zijn, zijn de drie belangrijkste woorden in cyberbeveiliging update, update, update. De oorspronkelijke wereldwijde WannaCry-infectie had kunnen worden voorkomen als bedrijven en particulieren hun Windows-software hadden bijgewerkt. De exploit die de verspreiding van WannaCry mogelijk maakte, was twee maanden eerder door Microsoft gepatcht.
• Back-ups maken: Het is een alledaagse, maar noodzakelijke taak om kritieke gegevens te beschermen, dus bedrijven moeten een routine instellen voor het maken van back-ups van informatie. Bovendien moeten back-ups extern worden opgeslagen en losgekoppeld van het bedrijfsnetwerk, zoals in een cloudservice, om ze te beschermen tegen infectie.
• Bewustmakingstraining cyberbeveiliging: Werknemers moeten regelmatig worden herinnerd aan goede e-mailgewoonten, vooral nu meer werknemers op afstand werken. Ze mogen nooit onbekende e-mailbijlagen openen en nooit op verdachte koppelingen klikken.

De kern van de zaak

Hoewel de WannaCry ransomware vier jaar geleden een enorme impact had, is het vandaag de dag nog steeds een hardnekkige bedreiging - nog meer bewijs dat degenen die niet van de geschiedenis leren, gedoemd zijn deze te herhalen. Gelukkig hoeft uw organisatie dat niet te doen als u uw software en systemen zorgvuldig bijwerkt.

[1] " Drie jaar na WannaCry, Ransomware versnelt terwijl Patching nog steeds problematisch is ," Dark Reading

[2] " Marcus Hutchins, malware-onderzoeker en 'WannaCry-held', veroordeeld tot vrijlating onder toezicht ," TechCrunch

[3] " WannaCry Ransomware-aanvallen 53% gestegen sinds januari 2021 ," NetSec.news