Het is tegenwoordig moeilijk om ransomware-aanvallen te negeren. Volgens het Internet Crime Report van de FBI stegen lokale klachten over dergelijke dreigingen met 20 procent in 2020. Wereldwijd escaleren aanvallen met meer dan 60% tussen 2019 en 2020. Ransomware-aanvallen nemen niet alleen toe, maar worden ook prominenter.
Laat ransomware je apparaat niet overnemen
Zorg ervoor dat je apparaat beschermd is tegen ransomware.
Probeer Malwarebytes Premium 14 dagen gratis.
Van olieleidingen en ziekenhuizen tot scholen, banken en goede doelen, het lijkt alsof geen enkele organisatie immuun is voor ransomware-aanvallen. Niet alleen grote bedrijven zijn het slachtoffer van deze cyberbeveiligingsinbreuken. Kleine bedrijven zijn ook doelwitten van ransomware en kunnen het moeilijker vinden om te overleven omdat ze meestal minder middelen hebben dan grotere bedrijven om te herstellen.
Hoewel de wereldwijde WannaCry-aanval plaatsvond in 2017, zijn er in de daaropvolgende jaren veel andere soorten ransomware ontstaan. Laten we een kijkje nemen naar WannaCry en waarom het zo'n belangrijke cyberincident was.
Wat was de WannaCry ransomware-aanval?
“Oeps, uw bestanden zijn versleuteld!”
In mei 2017 verspreidde de WannaCry ransomware zich wereldwijd via computers die Windows draaiden. Bijna twee maanden eerder had Microsoft een beveiligingspatch uitgebracht voor EternalBlue, de exploit die de aanvallers gebruikten om WannaCry ransomware te verspreiden. Veel Windows-gebruikers over de hele wereld hadden echter hun software niet bijgewerkt of gebruikten verouderde versies van Windows, en waren dus kwetsbaar voor de grootschalige aanval.
De WannaCry-aanvallers versleutelden Windows-computers over de hele wereld en eisten een losgeld van aanvankelijk $300 aan Bitcoin, later $600. Het infecteerde naar schatting 230.000 computers in 150 landen in slechts enkele uren. Nadat het zich aanvankelijk snel over de hele wereld had verspreid, ontdekte beveiligingsonderzoeker Marcus Hutchins een kill switch die de verspreiding van de aanval aanzienlijk vertraagde.
WannaCry Ransomware besmetting heat map
Waarom was WannaCry zo succesvol?
Ransomware zoals WannaCry werkt meestal door je bestanden te versleutelen of je systeem te vergrendelen. Daarna wordt er betaling geëist in de vorm van een cryptocurrency zoals Bitcoin omdat dergelijke munteenheden moeilijker te traceren zijn dan elektronische geldtransfers, cheques of contant geld. Echter, WannaCry heeft enkele kenmerken die het anders maken dan een typische ransomware-aanval die je vandaag de dag leest.
Cyberbendes gebruiken meestal puur ransomware-strains voor gerichte aanvallen. Denk erover als een boog en pijl in plaats van een katapult. De eerste is het beste geschikt om een doelwit per keer te raken, terwijl de laatste beter is voor het treffen van meerdere doelen. Bijvoorbeeld, de malware en de criminele bende achter de Colonial Pipeline ransomware-aanval leken zich slechts op één doelwit te richten. Om de DarkSide-ransomware te plaatsen, maakte de bende blijkbaar gebruik van een bekend wachtwoord voor een ouder Virtual Private Network (VPN) account.
Aan de andere kant was WannaCry meer een katapult. Het deed zijn naam eer aan door honderdduizenden computers in meer dan 150 landen binnen slechts enkele uren te infecteren. Het spaarde niemand en raakte snel alle soorten systemen via bedrijfsnetwerken. Dus, waarom was de verspreiding van de WannaCry ransomworm zo wijdverbreid en succesvol?
1. Worm Bestanddeel
Een worm is een type malware die bestanden kan verwijderen, bandbreedte kan verbruiken en zich snel kan verspreiden zonder een hostbestand nodig te hebben. Het verspreidt zichzelf, wat betekent dat, in tegenstelling tot een virus, het geen menselijke activering nodig heeft om zijn kwaadaardige activiteit te starten. Bovendien kunnen wormen malware zoals ransomware droppen. WannaCry raakte Windows-pc's als een lopend vuurtje dankzij zijn worm-component.
2. Uitbuitingen
Een exploit is een niet-gepatchte systeemkwetsbaarheid waarvan een cybercrimineel kan profiteren voor kwaadaardige activiteiten. De fout die WannaCry exploiteert ligt in hoe Windows het SMB (Server Message Block) protocol beheert. Kort gezegd, het SMB-protocol maakt communicatie tussen netwerkknopen mogelijk. Hoewel Microsoft de kwetsbaarheden in 2017 heeft gepatcht, gebruiken dreigingsactoren nog steeds SMB-kwetsbaarheden zelfs vandaag voor Trojan- en ransomware-aanvallen omdat veel Windows-gebruikers geen updates downloaden.
Welke sectoren werden het hardst getroffen door WannaCry?
De WannaCry-aanval verspreidde zich zo snel en infecteerde zoveel computers wereldwijd dat veel industrieën werden getroffen. Deze omvatten:
- Gezondheidszorg
- Noodgevallen
- Security
- Logistiek
- Telecom
- Gas
- Benzine
- Automotive
- Onderwijs
- Reclame
Hoeveel computers heeft WannaCry geïnfecteerd?
WannaCry trof naar schatting 230.000 computers. De malware beïnvloedde de operaties van ziekenhuizen, hulpdiensten, benzinestations en zelfs fabrieken. Sommige schattingen zetten de financiële kosten van de aanval in de miljarden.
Wie heeft WannaCry gecreëerd?
De Verenigde Staten geven officieel Noord-Korea de schuld van de WannaCry-aanval en hebben zelfs drie Noord-Koreanen aangeklaagd voor de malware en de hack van Sony Pictures Entertainment in 2014. Interessant genoeg heeft de NSA (National Security Agency) mogelijk ook een rol gespeeld in de WannaCry-aanval, zij het onbedoeld.
Volgens berichten was het de NSA die de SMB-kwetsbaarheid ontdekte die WannaCry exploiteerde. Later werd deze zogenaamde EternalBlue exploittool naar verluidt gestolen van de inlichtingendienst en uitgelekt door The Shadow Brokers (TSB), een hackergroep.
Is WannaCry nog steeds een dreiging?
WannaCry is minder een bedreiging, grotendeels dankzij de heldendaden van Marcus Hutchins. De Britse computerbeveiligingsonderzoeker ontwikkelde een kill switch met behulp van reverse engineering en honeypots die verhinderde dat WannaCry verder kon worden uitgevoerd. Bovendien vond een team van Franse onderzoekers een manier om enkele getroffen computers te ontsleutelen zonder losgeld te betalen.
WannaCry blijft echter actief. Zorg ervoor dat je je Windows-besturingssysteem regelmatig bijwerkt om de nieuwste beveiligingspatches te installeren. Je kunt ook vertrouwen op de intelligente anti-malware technologie van Malwarebytes om Ransom.WannaCrypt proactief op te sporen en te verwijderen.
Wat doet WannaCry als er niet wordt betaald?
WannaCry eist $300 in Bitcoin nadat het een systeem heeft vergrendeld. Later verdubbelt het de afpersingsprijs. Het bedreigt ook om je gegevens binnen drie dagen permanent te verwijderen. Hier bij Malwarebytes raden we aan om geen losgeld te betalen aan ransomware-bendes, deels omdat dit meer ransomware-bendes aanmoedigt die snel rijk willen worden. Bovendien is er geen garantie dat je je bestanden of je computer weer kunt ontgrendelen. Zo kreeg bijvoorbeeld niet elke WannaCry-slachtoffer zijn bestanden terug na betaling, mogelijk door een fout in de ransomware zelf.
Wat zijn enkele goede strategieën om ransomware te beperken?
Voor de apparaten die je thuis gebruikt, gebruik antivirus-/antimalwaresoftware die beschermt tegen allerlei soorten kwaadaardige software, inclusief ransomware-bescherming. Voor bedrijven omvatten strategieën om ransomware te beperken:
- Gebruik cybersecuritysoftware die ransomware-dreigingen kan detecteren en blokkeren.
- Maak regelmatig een back-up van je gegevens en air gap je cruciale back-ups.
- Segmenteer je netwerk.
- Dicht exploits door regelmatig te controleren op beveiligingsupdates.
- Wees op je hoede voor ransomware-dreigingsvectoren zoals phishing-e-mails.
- Stel complexe wachtwoorden in en wijzig ze regelmatig.
- Bescherm je systeem en essentiële accounts met tweefactorauthenticatie.
Malwarebytes anti-ransomware voor bedrijven
Malwarebytes Endpoint Detection and Response biedt meer dan alleen waarschuwingen, inclusief de eigen Linking Engine Remediation en Ransomware Rollback.
WannaCry-artikelen van Malwarebytes Labs
- Microsoft brengt patch uit om kwetsbaarheid van 'WannaCry-niveau' te voorkomen
- De Advanced Persistent Threat-bestanden: Lazarus Groep
- Hoe bedreigers gebruikmaken van SMB-kwetsbaarheden
- Al dit EternalPetya gedoe maakt me WannaCry
- Mobiele dreiging maandag: Valse WannaCry Scanner
- WannaDecrypt uw bestanden? De WannaCry-oplossing, voor sommige
- Hoe heeft de WannaCry ransomworm zich verspreid?
- Wil je nog meer huilen? Ransomware roundup speciale editie
- De worm die WanaCrypt0r verspreidt