Wat is ‘WanaCrypt0r 2.0’ ransomware en waarom valt hij computers aan wereldwijd?

​De Britse gezondheidsdienst (NHS) en bedrijven in Spanje, Rusland, Oekraïne en Taiwan werden aangevallen door software met kwaadaardige bedoelingen. Wat is het en hoe kan deze software de gegevens blokkeren van gebruikers om vervolgens losgeld te eisen?

WannaCry is schadelijk software die de NSH (National Health Service) in Groot-Brittannië heeft getroffen en ook een aantal grote bedrijven in Spanje, waaronder Telefónica en computers in Rusland, Oekraïne en Taiwan. De computers en de opgeslagen gegevens werden vergrendeld en er werd losgeld gevraagd om ze vrij te geven.

Ransomware maakt gebruik van een software lek die in eerste instantie bekend werd door een aantal gelekte documenten gerelateerd met de NSA (National Security Agency). Via de softwarelek kan de ransomware computers infecteren en het betreffend inhoud versleutelen om vervolgens honderden euro te eisen om de bestanden weer vrij te geven.

Het is een gecoördineerde aanval geweest waarin het lukte om, in minder dan zes uur na de ontdekking door beveiligingsonderzoekers, een groot aantal computers te infecteren binnen de gezondheidsdienst. Dit vooral dankzij het vermogen om zich binnen netwerken te verspreiden, van pc naar pc dus.

Door de ransomware-aanval, werden ziekenhuizen in heel Engeland gedwongen om patiënten in nood te weigeren, maar wat is het, hoe verspreidt het zich en waarom gebeurt het in eerste instantie?

Een google search over WannaCry leverde het volgende op:

​Wat is ransomware?

Ransomware is uiterst gemene malware die de toegang blokkeert tot een computer of de gegevens versleutelt die daarop zijn bewaard en geld vraagt on deze weer beschikbaar te maken.

Hoe werkt het?

Meestal, op het moment dat een computer geïnfecteerd wordt, maakt de ransomware contact met een centrale server voor informatie die het moet activeren en begint vervolgens met het versleutelen van bestanden die zich op de besmette computer bevinden. Wanneer alle bestanden zijn versleuteld, stuurt het een bericht waarin gevraagd wordt om te betalen voor het weer vrijmaken van de bestanden en ook gedreigd wordt om alle gegevens te vernietigen als er niet betaald zou worden. Om de druk op te voeren wordt vaak een timer aan het bericht gekoppeld.

Hoe kan het zich verspreiden?

​Ransomware zit meestal verborgen binnen Word documenten, pdf’s en andere bestanden die gewoonlijk via email worden verstuurd. Een andere manier is door middel van een secundaire infectie op computers die al door virussen zijn getroffen en een back door (achterdeurtje) bieden voor verdere aanvallen.

Wat is WannaCry?

Zowel Telefónica in Spanje als de NHS in Groot-Brittannië zijn getroffen door dezelfde software, een stuk malware die voor het eerst herkend werd door de MalwareHunterTeam, beveiligingsonderzoekers, op 12 mei om 9:45 uur.

In nog geen vier uur tijd had de ransomware de computers van NHS geïnfecteerd, oorspronkelijk alleen in de graafschap Lancashire en later verspreid via het interne netwerk van NHS. WannaCry wordt ook WanaCrypt0r 2.0 genoemd, of Wanna Decryptor 2.0, WCry 2, WannaCry 2 en Wanna Decryptor 2.

Hoeveel losgeld vragen ze?

Om de inhoud van de computers te ontgrendelen, vraagt WannaCry het equivalent van 300 euro in Bitcoin (cryptogeld).

Wie zit erachter?

De makers van deze ransomware zijn nog onbekend, maar WannaCry is hun tweede poging tot cyberafpersing. In februari hebben we al kennisgemaakt met WeCry die aan de geïnfecteerde gebruikers om 0,1 bitcoin vroeg (momenteel ongeveer 200 euro waard, maar de waarde fluctueert behoorlijk) om bestanden en programma’s te ontgrendelen.

Hoe werd de NSA betrokken bij zo’n aanval?

Als een gebruiker eenmaal dit specifiek type van ransomware op zijn computer heeft geïnstalleerd, probeert het zich te verspreiden naar andere computers op hetzelfde netwerk. WannaCry springt van computer tot computer via een softwarelek in het Windows besturingssysteem. Deze lek werd in april wereldwijd bekendgemaakt als onderdeel van een reusachtige lek van hacktools van de NSA (National Security Agency) en van bekende zwakke punten. De bekendmaking werd gedaan door een anonieme groep, de “Shadow Brokers”.

Is er geen verdediging geweest?

Ja. Kort na de bekendmaking door de Shadow Brokers, publiceerde Microsoft een patch voor de getroffen versies van Windows om te zorgen dat het beveiligingslek niet langer kon worden gebruikt om malware te verspreiden onder geüpdatet versies van het besturingssysteem. Om tal van redenen, van gebrek aan middelen tot de wil om nieuwe updates eerst te testen voordat ze toegepast worden, zijn organisaties helaas vaak traag om dergelijke updates op grote schaal te installeren.

Wie zijn de Shadow Brokers? Zaten zij achter deze aanval?

Zoals bij bijna elk geval in de wereld van cyberoorlog, iemand iets toeschrijven is zeer lastig. Toch is het onwaarschijnlijk dat de Shadow Brokers direct bij deze ransomware aanval waren betrokken. Aan de andere kant lijkt dat een opportunistische ontwikkelaar (die het nut van de informatie in de gelekte bestanden zag), deze informatie te hebben gebruikt om zijn eigen software bij te werken. Voor wat de Shadow Brokers betreft er is niemand die het precies weet. Er zijn wel een aantal vingers die naar Russische protagonisten wijzen als de mogelijke boosdoeners. 

Worden je bestanden echt vrijgegeven als het losgeld betaald is?

Betalen helpt soms en soms niet. Voor de Cryptolocker ransomware van een paar jaar geleden, hebben gebruikers verteld dat ze hun bestanden terugkregen na betaling van het losgeld, dat meestal een bedrag was van rond de 300 euro. Maar cybercriminelen zijn niet echt betrouwbaar en je hebt geen garantie dat betalen altijd zal werken.

Bovendien zijn er een aantal virussen, die eruitzien als de Cryptolocker ransomware, die je gegevens niet terug zullen geven na betaling. En verder heb je ook de ethische kwestie dat het betalen van losgeld in feite de criminaliteit financiert.

Wat kan je anders doen?

Als de ransomware eenmaal je bestanden heeft versleuteld, kan je weinig doen. Heb je een back-up van je gegevens, dan kan je ze terugzetten op je computer nadat je hem verschoond hebt. Heb je geen back-up, dan ben je bestanden voorgoed kwijt.

Het is beveiligingsonderzoekers gelukt om sommige slecht ontworpen ransomware te hacken en de gegevens te herstellen. Toch zijn zulke situaties zeldzaam en meestal niet toepasbaar bij grote professionele hits zoals de WannaCry aanval.

Hoe lang kan zo’n aanval duren?

Ransomware heeft meestal een kort leven. Omdat antivirusfabrikanten uitkijken naar nieuwe versies van de malware, zijn ze vaak in staat om het ontstaan en verspreiden van infecties te voorkomen. 

Kunnen de oplichters ermee wegkomen?

Het betaalmiddel die de hackers willen, de Bitcoin, is moeilijk te traceren maar niet onmogelijk. Bovendien, het feit dat de aanval op zo’n grote schaal plaatsvindt betekent dat er steeds meer meerdere rechtshandhavingsinstanties uit verschillende landen zullen proberen het betaald losgeld terug te volgen tot aan de boosdoeners. 

Waarom is de NHS een doelwit geweest?

De aanval lijkt niet specifiek op de NHS te zijn gericht, maar deze dienst wordt niet geholpen door de aanwezigheid van oude niet ondersteunde software. Veel vertrouwenspersonen van de NHS gebruiken nog steeds Windows XP, een versie van het besturingssysteem die door Microsoft sinds tien jaar geen openbare beveiligingsupdates heeft ontvangen. Trouwens ook de updates die op nieuwere systemen zijn geïnstalleerd worden vaak slecht en sporadisch onderhouden. Onoplettendheid kan catastrofaal zijn voor een aanval die een lek kan gebruiken die nog geen drie maanden geleden gerepareerd is.

Over de hele wereld zijn aanvallen op zorgverleners momenteel op een historisch hoog niveau. Dit kan vooral worden verklaard door het feit dat zorgverleners over waardevolle privégegevens beschikken, waaronder zeer persoonlijke medische dossiers.