Op vrijdagmiddag 12 mei heeft een uitbraak van de nieuwe ransomware ‘WannaCry’ plaatsgevonden. In korte tijd besmette deze malafide software computers in bijna honderd landen. In dit artikel meer informatie over WannaCry, de risico’s en hoe u zich kunt wapenen om Wannacry buiten de deur te houden.

Wat is WannaCry?

Deze ransomware maakt gebruik van een kwetsbaarheid welke door de NSA werd gebruikt en onbedoeld is gelekt. Ziekenhuizen in Groot Brittannië, telefoonmaatschappijen in Spanje en transportbedrijven in Amerika zijn door deze aanvallen (deels) uitgevallen. De kwetsbaarheid, waar gebruik van wordt gemaakt, bevindt zich in Windows systemen (met uitzondering van Windows 10 en Windows Server 2016) welke niet van de laatste patches zijn voorzien. Microsoft heeft een sinds 14 maart 2017 een patch uitgebracht om deze kwetsbaarheid te dichten.

Wat zijn de risico’s van Wannacry?

WannacryBestanden op systemen welke door de ransomware zijn geïnfecteerd worden ge-encrypt, hiervoor wordt losgeld gevraagd in de vorm van BitCoins ($300,-) om de bestanden weer terug te krijgen. Daarbij gaat een geïnfecteerd systeem binnen het netwerk actief opzoek naar kwetsbare systemen en besmet deze. Ook gaat een geïnfecteerd systeem via het internet opzoek naar systemen welke voor deze kwetsbaarheid gevoelig zijn.

Wat houdt de kwetsbaarheid in:

De NSA maakt gebruik van kwetsbaarheden in systemen om zaken te onderzoeken. Eén van deze kwetsbaarheden bevond zich in het SMBv1 Protocol. Het SMB (Server Message Block) protocol wordt gebruikt voor bestandsdeling. SMBv1 wordt gebruikt door oudere besturingssystemen, zoals Windows XP en Windows Server 2003.
De kwetsbaarheid waar gebruik van wordt gemaakt is publiek gelekt en is hierdoor in de verkeerde handen gevallen. De naam van deze kwetsbaarheid is EternalBlue. Door gebruik te maken van deze kwetsbaarheid krijgen aanvallers de mogelijkheid om de ransomware te installeren en uit te voeren op systemen. Windows XP en Windows Server 2003 worden niet meer ondersteund door Microsoft en worden niet voorzien van patches. Gezien de ernst van de kwetsbaarheid heeft Microsoft toch een speciale patch voor Windows XP en Windows Server 2003 uitgebracht

In het nieuws staat dat het gevaar is geweken, wat nu?

De variant waarmee we afgelopen vrijdag te maken kregen heeft een onbedoeld stuk code welke zoekt naar een domeinnaam. Zodra deze domeinnaam bereikt kan worden, dan stopt de besmetting. Het vermoeden is dat deze code voor testdoeleinden is gebruikt en onbedoeld is meegekomen. Een securityonderzoeker heeft de betreffende domeinnaam geregistreerd en hiermee is de huidige aanval gestopt. Inmiddels wordt door criminele organisaties gewerkt aan nieuwe code, en een nieuwe variant op de ransomware. Deze ransomware zal dezelfde kwetsbaarheid gebruiken, echter niet zonder code om te stoppen. De verwachting is dat een nieuwe variant zich binnen uren kan ontwikkelen, maar zeker binnen enkele dagen. Dit omdat de kwetsbaarheid binnen Windows erg eenvoudig te misbruiken is.

Wat nu te doen:

Voorkomen:

  • Zorg dat alle systemen zijn voorzien van de patch in Mirosoft artikel MS17-010 (ook beschikbaar voor Windows XP en Windows Server 2003)
  • Schakel SMBv1 uit op systemen
  • Zorg ervoor dat systemen welke aan het internet zijn gekoppeld niet bereikbaar zijn over het RDP of SMB protocol
  • Zorg ervoor dat systemen welke aan het internet zijn gekoppeld niet bereikbaar zijn over port 445
  • Isoleer Windows systemen welke niet zijn voorzien van patches, of kunnen worden gepatched, van het netwerk om besmetting te voorkomen

Detectie:

  • Zorg dat anti-virus producten up to date zijn. De meeste anti-virus producten zijn met de laatste patch tegen het virus bestand. Echter mutaties welke zullen ontstaan worden hierdoor nog niet onderschept
  • Netwerk verkeer dat verbinding maakt met TOR servers op het internet is een indicatie van een besmetting door malware/ransomware.
  • DNS Log controle. Ransomware maakt verbinding met vooraf bepaalde domeinnamen. Als deze domeinnamen in de DNS logs zichtbaar zijn, is dit een indicatie van besmetting.

FAQ:

Wat als ik Windows 10 gebruik?
Windows 10 is niet kwetsbaar voor deze ransomware, evenals Windows Server 2016. Windows XP, Windows 7, Windows 8(.1), Windows Server 2003, 2008, 2012 zijn wel kwetsbaar.

Windows XP wordt toch niet meer ondersteund?
Voor Windows XP en Windows Server 2003 worden geen patches meer uitgebracht. Gezien de ernst van de kwetsbaarheid heeft Microsoft besloten ook voor deze besturingssystemen een patch uit te brengen.

Ik kan mijn systemen nu niet patchen, en nu?
– Verbind systemen zonder patch niet direct aan het internet
– Isoleer systemen zonder patch in het netwerk
– Zorg voor up-to-date endpoint beveiliging, zoals anti-virus

Meer weten?

Wij hopen dat u middels deze mailing voldoende informatie te hebben gegeven. Mocht u naar aanleiding van dit onderwerp vragen hebben, neemt u dan contact met ons op