image

Politie doet onderzoek naar daders WannaCry-ransomware

donderdag 25 mei 2017, 13:37 door Redactie, 4 reacties

Het Team High Tech Crime van de Nederlandse politie doet mee aan een internationaal onderzoek om de criminelen achter de WannaCry-ransomware te achterhalen. Het aantal organisaties in Nederland dat door de ransomware werd getroffen is gering. Wereldwijd werden honderdduizenden systemen aangevallen.

"Deze aanval met WannaCry laat zien dat ransomware onze hele maatschappij kan ontwrichten. We proberen de daders op te sporen. Wij zijn als Team High Tech Crime aangesloten bij de internationale coalitie die de opsporing van WannaCry ter hand neemt", zegt Gert Ras, hoofd van het Team High Tech Crime, tegenover EenVandaag. Het televisieprogramma zendt vanavond een uitgebreid interview met Ras uit.

Doordat een onderzoeker een domein registreerde dat als killswitch voor de ransomware fungeerde werd de schade beperkt. De killswitch zorgde ervoor dat de ransomware vanaf de eerste aangevallen computer niet verder in het netwerk verspreidde en geen bestanden versleutelde. De aanwezigheid van de killswitch is volgens Ras opmerkelijk. "Dat is heel bijzonder, want dat hebben we nog niet eerder gezien. Het is ook niet logisch als je deze gijzelsoftware crimineel wil gebruiken. Dus dat roept de vraag op of er niet mogelijk toch een statelijke actor achter zit, in plaats van criminelen. Een land als Noord-Korea of een ander land."

Eerder nog wezen verschillende beveiligingsbedrijven naar een verband tussen de Lazarus Group en de WannaCry-ransomware. Verschillende stukjes code in WannaCry werden ook in malware van de Lazarus Group aangetroffen. Deze groep hackers wist eerder Sony te hacken en 81 miljoen dollar bij de Centrale Bank van Bangladesh te stelen. Ook was de groep verantwoordelijk voor aanvallen op Zuid-Koreaanse banken en mediabedrijven.

Reacties (4)
25-05-2017, 13:42 door Anoniem
De aanwezigheid van de killswitch is volgens Ras opmerkelijk. "Dat is heel bijzonder, want dat hebben we nog niet eerder gezien. Het is ook niet logisch als je deze gijzelsoftware crimineel wil gebruiken. Dus dat roept de vraag op of er niet mogelijk toch een statelijke actor achter zit, in plaats van criminelen.

Er zat helemaal geen killswitch in, dat was gewoon een erg simpele sandbox evasion techniek.
25-05-2017, 17:22 door Anoniem
Bovendien werd de schade vooral beperkt doordat het normaal gesproken meest getroffen slachtoffer: de privégebruiker, in dit geval nauwelijks getroffen werd, omdat er bij de meeste privéaansluitingen een NAT-router tussen zit. Die de aanvallen op adres 445 'nat'jes tegenhoudt.

Opvallend is dat veleen op fora (ook hier) eerst iedereen veroordeelde die nog op XP zit, terwijl naderhand bleek dat juist XP niet gevoelig was voor deze malware...
25-05-2017, 21:33 door Anoniem
Onterecht. Wil je iemand aanwijzen? Vingers richting degenen die het lek hebben willen sussen, die hebben de opportuniteit letterlijk gecreeerd.
26-05-2017, 12:17 door Anoniem
Door Anoniem:
De aanwezigheid van de killswitch is volgens Ras opmerkelijk. "Dat is heel bijzonder, want dat hebben we nog niet eerder gezien. Het is ook niet logisch als je deze gijzelsoftware crimineel wil gebruiken. Dus dat roept de vraag op of er niet mogelijk toch een statelijke actor achter zit, in plaats van criminelen.

Er zat helemaal geen killswitch in, dat was gewoon een erg simpele sandbox evasion techniek.
niet evasion, detection
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.