image

Uitbraak WannaCry-ransomware: De feiten op een rij

maandag 15 mei 2017, 07:17 door Redactie, 35 reacties
Laatst bijgewerkt: 15-05-2017, 13:53

Op vrijdag 12 mei 2017 werden allerlei organisaties wereldwijd getroffen door de WannaCry-ransomware. Systemen van ziekenhuizen werden uitgeschakeld, autofabrieken stopten de productie, klanten van parkeergarages konden niet betalen, informatieborden van de Duitse spoorwegen werkten niet en er vond zelfs spoedoverleg in het Witte Huis plaats. Maar hoe zit het nu precies? Security.NL zet in dit artikel de feiten op een rij.

Hoe verspreidt WannaCry zich?

WannaCry maakt gebruik van een beveiligingslek in Microsoft Windows SMB Server dat Microsoft op 14 maart 2017 patchte. Door het versturen van een speciaal bericht naar een Microsoft Server Message Block 1.0 (SMBv1) server kan een aanvaller via dit beveiligingslek kwetsbare machines overnemen en hier willekeurige code op uitvoeren, zoals ransomware. Hiervoor scant de ransomware via TCP-poort 445 naar kwetsbare machines.

Er gaan ook berichten over het gebruik van bijlagen waardoor WannaCry zich zou verspreiden, maar die zijn nog niet bevestigd. Beveiligingsbedrijf McAfee laat aan Security.NL weten dat het alleen infecties via het SMB-lek heeft waargenomen.

Welke Windowsversies zijn kwetsbaar voor WannaCry?

Het beveiligingslek is aanwezig in alle ondersteunde Windowsversies, alsmede Windows XP, Windows Server 2003 en Windows 8 die niet meer worden ondersteund. Voor deze drie Windowsversies heeft Microsoft alsnog voor alle gebruikers een update uitgebracht om het SMB-lek te dichten. Microsoft heeft echter laten weten dat de exploit die de WannaCry-ransomware gebruikt niet tegen Windows 10 werkt. Iets dat al eerder bekend was.

Is dit de meest schadelijke/succesvolle ransomware-aanval ooit?

Dat is lastig te zeggen. WannaCry zou zo'n 200.000 unieke ip-adressen hebben besmet. De Confickerworm wist zo’n 7 miljoen computers wereldwijd te infecteren. Wordt er specifiek naar ransomware gekeken dan zijn er andere ransomware-exemplaren die meer systemen wisten te infecteren en de aanvallers erachter meer geld opleverden. Zo wist de CryptoLocker-ransomware volgens de FBI wereldwijd 234.000 computers te infecteren. Slachtoffers zouden 3 miljoen dollar hebben betaald voor het ontsleutelen van hun computers, hoewel er ook een schatting van 24 miljoen dollar wordt genoemd.

De Cryptowall-ransomware zou zelfs 830.000 machines hebben besmet en criminelen mogelijk 325 miljoen dollar hebben opgeleverd. De drie bitcoinadressen die WannaCry gebruikt hebben tot nu toe zo’n 22 bitcoin ontvangen, wat met de huidige koers zo’n 36.000 euro is. De herstelkosten vanwege WannaCry kunnen echter in de tientallen miljoenen euro’s lopen, zo stelt Symantec.

Hoeveel losgeld vraagt WannaCry?

De ransomware vraagt 300 dollar in bitcoin voor het ontsleutelen van bestanden.

Is de WannaCry-ransomware door de NSA ontwikkeld?

Nee, de NSA heeft WannaCry niet ontwikkeld. De Amerikaanse inlichtingendienst wordt wel als verantwoordelijke gezien voor de EternalBlue-exploit die de ransomware gebruikt om systemen mee aan te vallen. Deze exploit werd bij de NSA gestolen en door een groep genaamd Shadow Brokers op 14 april openbaar gemaakt. Het beveiligingslek waar de exploit gebruik van maakt was toen al een maand door Microsoft gepatcht.

Kwam de aanval als een verrassing?

Zoals gezegd verscheen de exploit om systemen mee aan te vallen op 14 april. Een week later werden systemen wereldwijd al via deze exploit aangevallen. Een beveiligingsbedrijf stelde rond deze tijd dat het SMB-lek werd gebruikt om Windowsservers met ransomware te infecteren, maar verdere details werden niet gegeven. Beveiligingsonderzoeker Kevin Beaumont voorspelde op 19 april 2017 dat de EternalBlue-exploit door een ransomwareworm gebruikt zou worden.

Hoe kunnen organisaties zich tegen de aanval beschermen

Systemen die beveiligingsupdate MS17-010 van 14 maart hebben geïnstalleerd zijn niet kwetsbaar, wat aangeeft hoe belangrijk het tijdig installeren van updates is. Daarnaast wordt ook aangeraden om SMB niet bereikbaar voor internet te maken.

Kon de aanval worden voorkomen?

Chris Wysopal van beveiligingsbedrijf Veracode stelde het volgende: "Het grootste probleem hier is dat organisaties meer dan acht weken de tijd nemen om een Microsoft-update te installeren."

Hoe zit het met Nederlandse organisaties?

Het Nationaal Cyber Security Centrum (NCSC) van de overheid laat weten dat er tot nu toe geen Nederlandse organisaties uit de vitale sectoren en overheid bekend zijn die getroffen zijn door een besmetting met WannaCry. Wel raakten systemen van parkeerbedrijf Q-Park in Nederland met de ransomware besmet. Daardoor konden klanten niet meer bij de parkeerautomaat betalen. Beveiligingsbedrijf McAfee liet dit weekend aan Security.NL weten dat het een handvol hits in Nederland heeft ontdekt, terwijl F-Secure het over "een paar honderd gevallen" heeft.

Is de WannaCry-ransomware nu nog gevaarlijk

De versie die vrijdag rondging bevatte een “killswitch” die ervoor zorgt dat alle functionaliteit stopt. Zodra de ransomware op een machine actief is probeert het verbinding met een .com-domein te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. De aanvallers hadden de betreffende domeinnaam echter niet geregistreerd. Een 22-jarige onderzoeker met het alias MalwareTech registreerde het domein en neutaliseerde daarmee de aanval. Er gaan nu ook berichten over een versie zonder killswitch, maar hier zijn nog onduidelijkheden over.

Krijgen slachtoffers die betalen hun bestanden terug?

Er zijn nog geen berichten verschenen van slachtoffers die hebben betaald en ook daadwerkelijk hun bestanden hebben teruggekregen. Onderzoekers twijfelen daarnaast of versleutelde bestanden wel door de ransomwaremakers kunnen worden ontsleuteld.

Dit artikel zal regelmatig met nieuwe feiten worden bijgewerkt.

Reacties (35)
15-05-2017, 08:38 door Anoniem
Goed artikel!

Een klein foutje: Op vrijdag 12 april 2017, dat moet mei zijn.
15-05-2017, 09:06 door Anoniem
Het lullige met Microsoft-updates is dat je nooit weet wat ze doen. De ene is een echte update die je OS verbetert of je pc beschermt, de andere een update die jouw windows-versie slechter laat draaien zodat je naar de nieuwste windows-vesie wil upgraden. Leuk om te stellen dat men op tijd moet updaten maar neb moet dan nog wel even uitzoeken welke updates nodig zijn en welke windows-reclame zijn.
15-05-2017, 09:21 door Anoniem
Leuk om te stellen dat men op tijd moet updaten maar neb moet dan nog wel even uitzoeken welke updates nodig zijn en welke windows-reclame zijn.
Als je gedwongen wordt om op die manier met je updates om te gaan, dan is het tijd voor een ander OS.
15-05-2017, 09:52 door Anoniem
Door Anoniem:de andere een update die jouw windows-versie slechter laat draaien zodat je naar de nieuwste windows-vesie wil upgraden.
Noem dan eens een paar van die updates die jouw windows versie slechter laten draaien, zodat je wil upgraden?
15-05-2017, 09:55 door Anoniem
Door Anoniem:
Leuk om te stellen dat men op tijd moet updaten maar neb moet dan nog wel even uitzoeken welke updates nodig zijn en welke windows-reclame zijn.
Als je gedwongen wordt om op die manier met je updates om te gaan, dan is het tijd voor een ander OS.
Door Anoniem: Het lullige met Microsoft-updates is dat je nooit weet wat ze doen. De ene is een echte update die je OS verbetert of je pc beschermt, de andere een update die jouw windows-versie slechter laat draaien zodat je naar de nieuwste windows-vesie wil upgraden. Leuk om te stellen dat men op tijd moet updaten maar neb moet dan nog wel even uitzoeken welke updates nodig zijn en welke windows-reclame zijn.
En dat is nu precies waarom er vulnerability management systemen zijn, die geven aan welke patches van belang zijn.
15-05-2017, 10:07 door Anoniem
Door Anoniem: Het lullige met Microsoft-updates is dat je nooit weet wat ze doen. De ene is een echte update die je OS verbetert of je pc beschermt, de andere een update die jouw windows-versie slechter laat draaien zodat je naar de nieuwste windows-vesie wil upgraden. Leuk om te stellen dat men op tijd moet updaten maar neb moet dan nog wel even uitzoeken welke updates nodig zijn en welke windows-reclame zijn.

tja, uitzoeken kost 2 maanden.... o nee, ongeveer een half uur includief testen.

ach... als je een excuus wilt zoeken, doe dat vooral.
15-05-2017, 10:47 door Anoniem
Ik lees toch best wat bedrijven die nodeloos hun software op MS Windows laten draaien, zoals Q-Park. En worden dus (nodeloos) geïnfecteerd door Windows malware. En verliezen terecht omzet. Laat dit een les zijn voor de M$ verslaafden!
15-05-2017, 10:58 door Anoniem
kleine toevoeging op dit artikel

Bestanden worden versleuteld met extensies .wnry, .wcry, .wncry en .wncryt.

Dit zijn de dusver bekende extensies. Zou kunnen dat dit nog wordt uitgebreid.
15-05-2017, 10:58 door Bitwiper
Xs4all heeft mij afgelopen weekend afgesloten, vermoedelijk omdat mijn webbrowser (de laatste versie van Firefox onder Android) een DNS lookup deed van het kill switch domein (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com).

Dat ik werd afgesloten vond ik niet zo'n probleem (bovendien had ik mijn verbinding snel weer terug), maar als het klopt dat die afsluiting plaatsvond op basis van een DNS lookup, dan is dat desastreus voor computers waar WannaCry daadwerkelijk op is gestart!

Volgens de analyse (zie https://twitter.com/darienhuss/status/863083680528576512) is het namelijk zo dat, als WannaCry succesvol een http verbinding kan maken met het kill switch domein, de malware stopt.

Als goedbedoelende maar suffe providers zoals Xs4all en/of antivirusboeren http toegang tot het kill switch domein blokkeren, stopt WannaCry juist niet!

Zie mijn bijdrage in https://tweakers.net/nieuws/124635/beveiligingsonderzoeker-vindt-per-toeval-killswitch-voor-ransomwarecampagne.html?showReaction=9990961#r_9990961 waarom mijn webbrowser het kill switch domein meende te moeten benaderen.
15-05-2017, 11:01 door Anoniem
Door Anoniem:
Door Anoniem:de andere een update die jouw windows-versie slechter laat draaien zodat je naar de nieuwste windows-vesie wil upgraden.
Noem dan eens een paar van die updates die jouw windows versie slechter laten draaien, zodat je wil upgraden?

1 voorbeeldje van de afgelopen 2 weken is de Office Update waardoor superscript niet meer werkte https://support.office.com/nl-nl/article/Superscripts-worden-weergegeven-als-subscripts-in-voetnootmarkeringen-in-Word-2016-f85c5bc1-053b-4560-a439-03bcff4e1696

dat is wel Office maar voor Windows Servers was er een Security update die Group Policies niet meer leesbaar maakte waardoor b.v. iconen etc niet meer bij de gebruiker verschenen. Ga ze niet allemaal opzoeken en daar horen deze grote bedrijven OTAP discipline te gebruiken.
15-05-2017, 11:12 door Anoniem
uh van win95 naar win 98 en toen naar win xp en toen naar win vista en toen naar win 7 en toen naar win10 ?
elke upgrade vertraagde de werking van mijn hardware en mocht ik weer nieuwe hardware gaan kopen.

Bij linux gaat dat andersom. elke upgrade betekend dat t weer wat sneller wordt.....

Door Anoniem:
Door Anoniem:de andere een update die jouw windows-versie slechter laat draaien zodat je naar de nieuwste windows-vesie wil upgraden.
Noem dan eens een paar van die updates die jouw windows versie slechter laten draaien, zodat je wil upgraden?
15-05-2017, 11:34 door Anoniem
Wacht even hoor.... Je moet SMB naar het internet geopend hebben op 445 om geïnfecteerd te raken???
En toch zijn er mensen geïnfecteerd????

WIE hangt windows direct aan het internet en dan ook nog met SMB open?
Sorry, maar dan speel je toch gewoon voor honeypot?
15-05-2017, 11:34 door [Account Verwijderd] - Bijgewerkt: 15-05-2017, 11:37
[Verwijderd]
15-05-2017, 11:42 door Anoniem
typisch... een fout in de feiten

"geïnfecteerde systemen ligt rond de 200.000"
maar dit zijn het aantal unieke IP adressen, niet systemen.
15-05-2017, 11:44 door Anoniem
typisch... NOG een fout in de feiten

"een “killswitch” die ervoor zorgt dat alle functionaliteit stopt"
het stopte alleen de SMB worm, niet het encryptie process op de eerst geinfecteerde machine
15-05-2017, 11:48 door [Account Verwijderd] - Bijgewerkt: 15-05-2017, 11:55
[Verwijderd]
15-05-2017, 11:50 door Anoniem
Door Anoniem: uh van win95 naar win 98 en toen naar win xp en toen naar win vista en toen naar win 7 en toen naar win10 ?
elke upgrade vertraagde de werking van mijn hardware en mocht ik weer nieuwe hardware gaan kopen.

Bij linux gaat dat andersom. elke upgrade betekend dat t weer wat sneller wordt.....

Als je jouw redenatie volgt werkt Linux dus nog steeds op je oude computer waar je ooit ook Windows 95 op had kunnen zetten en is het sneller dan die eerste installatie??
15-05-2017, 12:46 door Anoniem
klanten van parkeergarages konden niet betalen

Ja daar schieten we toch een beetje door met de automatisering...
15-05-2017, 13:30 door Anoniem
Door Anoniem: Wacht even hoor.... Je moet SMB naar het internet geopend hebben op 445 om geïnfecteerd te raken???
En toch zijn er mensen geïnfecteerd????

WIE hangt windows direct aan het internet en dan ook nog met SMB open?
Sorry, maar dan speel je toch gewoon voor honeypot?
Nee, je hebt het niet goed begrepen. Aanvankelijk is de infectie eerst door een phishing mail die een attachment bevat die jouw machine infecteert. Vervolgens zal het zich via SMB op je LOKALE netwerk verspreiden. Het is heel gewoon om SMB op je lo?ale netwerk wel open te hebben.
15-05-2017, 14:14 door Anoniem
Door Anoniem: Ik lees toch best wat bedrijven die nodeloos hun software op MS Windows laten draaien, zoals Q-Park. En worden dus (nodeloos) geïnfecteerd door Windows malware.
Nee, ze moeten hun beheer gewoon goed in orde hebben. Anders krijg je exact het zelfde als de IOT devices..... Enige herinneringen hieraan?

En verliezen terecht omzet.
Waarschijnlijk nog altijd minder dan een compleet platform opnieuw neerzetten met waarschijnlijk slechte ondersteuning vanuit de leveranciers.

Laat dit een les zijn voor de M$ verslaafden!

Nee... Want met een ander OS zouden ze exact het zelfde issue hebben. Niet gepatchte omgevingen.
En je MS defintie zegt eigenlijk al weer voldoende, ofwel geen nuttige toevoeging, behalve te willen trollen
15-05-2017, 14:19 door Anoniem
Gelukkig op mijn windows 95 set geen last
15-05-2017, 14:33 door SecGuru_OTX
Door Anoniem:
Door Anoniem: Wacht even hoor.... Je moet SMB naar het internet geopend hebben op 445 om geïnfecteerd te raken???
En toch zijn er mensen geïnfecteerd????

WIE hangt windows direct aan het internet en dan ook nog met SMB open?
Sorry, maar dan speel je toch gewoon voor honeypot?
Nee, je hebt het niet goed begrepen. Aanvankelijk is de infectie eerst door een phishing mail die een attachment bevat die jouw machine infecteert. Vervolgens zal het zich via SMB op je LOKALE netwerk verspreiden. Het is heel gewoon om SMB op je lo?ale netwerk wel open te hebben.

Dit klopt niet, niet via e-mail, direct via een open SMB port op kwetsbare systemen.
15-05-2017, 14:53 door Anoniem
U zei :)

The Initial Infection Vector Is A Well-crafted Phishing Email.

According to CrowdStrike's vice president of intelligence Adam Meyers, the initial spread of WannaCry is coming through phishing, in which fake invoices, job offers and other lures are being sent out to random email addresses. Within the emails is a password protected .zip file, so the email uses social engineering to persuade the victim to unlock the attachment with a password, and once clicked that initiates the WannaCry infection. Microsoft confirms this in a blog post.
15-05-2017, 16:25 door Anoniem
'Je moet op tijd patchen' of 'gebruik dan maar geen Microsoft', zijn lekkere one-liners en van toepassing op huis/tuin/keuken gebruikers. Een probleem blijft dat veel business applicaties juist door patches, niet meer werken. Dat is helemaal geen Windows/Microsoft only probleem.

Er zijn genoeg bedrijven die op verouderde Linux/Unix boxen draaien, om dezelfde redenen dat Windows boxen dat doen.

Het probleem is veel groter. Het missen van netwerk segmentatie, te los ingestelde firewalls, geen IDS, slechte virus filters. Alleen vertrouwen op software updates and vendor support is altijd fout en eigenlijk moet je ervanuit gaan dat er altijd een lek is. Wanneer je interessant genoeg bent als target, wordt er ook altijd een lek gevonden.

Want denk je eens in als ShadowBrokers dit niet had gelekt maar opnieuw had verhandeld aan de hoogste bieder. Of wanneer de volgende Ransomware club de NSA gaat overbieden. NSA is normaliter de hoogste bieder op de zwarte markt voor exploits, gelijk ook de enige reden dat ze de exploits hadden.

https://en.wikipedia.org/wiki/Layered_security
15-05-2017, 17:00 door SecGuru_OTX
Door Anoniem: U zei :)

The Initial Infection Vector Is A Well-crafted Phishing Email.

According to CrowdStrike's vice president of intelligence Adam Meyers, the initial spread of WannaCry is coming through phishing, in which fake invoices, job offers and other lures are being sent out to random email addresses. Within the emails is a password protected .zip file, so the email uses social engineering to persuade the victim to unlock the attachment with a password, and once clicked that initiates the WannaCry infection. Microsoft confirms this in a blog post.

Heb ik idd gezien, maar klopt niet.

Je ziet op social media ook allerlei voorbeelden met zogenaamde WanaCryptOr bijlages, na enig onderzoek blijken dat Cerber voorbeelden te zijn.

NCSC en Fox-IT verklaarde initieel ook dat het om e-mail ging, maar hebben die verklaring gisteren ingetrokken.

Geloof mij, de worm is voor distributie voor ransomware, niet de email.
15-05-2017, 17:05 door Anoniem
Door Anoniem: 'Je moet op tijd patchen' of 'gebruik dan maar geen Microsoft', zijn lekkere one-liners en van toepassing op huis/tuin/keuken gebruikers. Een probleem blijft dat veel business applicaties juist door patches, niet meer werken. Dat is helemaal geen Windows/Microsoft only probleem.


Onzin. Dat geldt ook voor bedrijven. Het is vrij simpel. Of je patcht. Of je hangt je systeem niet aan internet. Als je niet patcht en je systeem wel aan internet hangt ben je zelf aansprakelijk.
15-05-2017, 17:38 door Anoniem
Zou je een betaling ook kunnen Spoofen (via een dubble spend) waarvan de dubbel naar het Worm adres gaat om de pc vrij te geven?
hoe wordt dit gecheckt?... en is de check dan sneller dan de afkeur van de dubbel voor de bChain?
Anders fake betaling vrij loskoppelen schoonmaken .... klaar (al is het niet zeker dat je na betaling geholpen ben dus dan is dit ook niet toereikend)
15-05-2017, 19:20 door Anoniem
Door Anoniem:
En dat is nu precies waarom er vulnerability management systemen zijn, die geven aan welke patches van belang zijn.
Dat geloof je toch niet??? dat er weer een aparte partij nodig is die aangeeft welke patches nodig zijn en welke niet?
Vroeger stond er gewoon in de 1-regelige omschrijving van iedere update waar ie voor was, maar dat staat nu niet
meer in de update zelfs niet meer op de download pagina, daar moet je eerst 3 keer voor doorklikken.
Men wil kennelijk niet dat de gebruiker geinformeerd wordt.
15-05-2017, 21:08 door yobi
Technische analyse:
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

Meerdere zaken zijn fout gegaan:
- Microsoft levert software met een fout erin.
- NSA houdt de exploit achter voor eigen gebruik.
- De exploit is gelekt.
- De oplossing van Microsoft is niet door iedereen geïnstalleerd.
- De exploit is publiek via Metasploit + RiskSense-Ops (gratis voor iedereen) beschikbaar.
15-05-2017, 21:13 door Anoniem
Ben het er wel mee eens dat de updates van Microsoft geen sterk punt zijn, in ieder geval op mijn windows7 systeem. Zoeken naar nieuwe updates duurt soms meerdere uren. Updates worden geinstalleerd die dan mislukken, wordt de update teruggedraaid en stoppen vervolgens alle updates op die machine. Ik heb hier 10x linux draaien en als er een update eens niet loopt doet de rest het wel gewoon.
Naar mijn smaak gebruikt microsoft updates om systemen over een periode van 2-3 jaar zodanig langzamer te maken om je tot upgrade aan te zetten.
15-05-2017, 21:42 door Anoniem
Door Anoniem: Ben het er wel mee eens dat de updates van Microsoft geen sterk punt zijn,

Nou dat is wel de understatement van het jaar! Microsoft zou zich moeten schamen voor Windows Update.
het is een wanproduct wat ze alleen maar overleven omdat ze nou eenmaal de gevestigde partij zijn, iedere andere
fabrikant zou hier failliet aan zijn gegaan.
25 jaar hebben ze er aan ontwikkeld en het is zo rot als een mispel...
19-05-2017, 09:14 door [Account Verwijderd]
KOOP MAAR EEN COMPUTER VAN APPLE, DAN HEB JE VAN DIE MALWARE GEEN LAST!
22-05-2017, 17:52 door Anoniem
Mijn vraag is simpel: waren er firewall fabricanten of IDS/IPS fabricanten die na het uitlekken van de EternalBlue-exploit van de NSA, hun systemen snel geupdate hadden zodat ze:
[A] een EthernalBlue-exploit konden identificeren in SMBv1 TCP 445 traffic ?
de exploit konden stoppen/blokkeren ?

Zo ja, welke fabricant was hiertoe in staat ? Want dat is het enige dat telt.....de rest zijn allemaal vijgen na Pasen.
25-05-2017, 11:17 door Anoniem
De volgende Windows-instelling wordt geadviseerd te wijzigen:

http://www.thewindowsclub.com/disable-smb1-windows

http://www.makeuseof.com/tag/prevent-wannacry-malware-variants-disabling-windows-10-setting/

In de reacties van die artikelen worden enkele nadelen genoemd.

Iemand hier een mening over?
02-06-2017, 16:32 door Anoniem
Door Mobidick: KOOP MAAR EEN COMPUTER VAN APPLE, DAN HEB JE VAN DIE MALWARE GEEN LAST!

Klopt, en dat is maar goed ook ..
want als je die Mac computer gekocht hebt heb je ook geen centjes meer over om de huiliehuilie-boefjes te betalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.