WannaCry

WannaCry was een wereldwijde ransomware-aanval in mei 2017. Is het nog steeds een bedreiging? Lees verder voor meer informatie.

.st0{fill:#0D3ECC;} MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

Het is tegenwoordig moeilijk om ransomware-aanvallen te negeren. Volgens het Internet Crime Report van de FBI zijn lokale klachten over dergelijke bedreigingen in 2020 met 20 procent gestegen. Wereldwijd zijn de aanvallen tussen 2019 en 2020 met meer dan 60% geëscaleerd. Niet alleen nemen ransomware-aanvallen toe, ze worden ook prominenter.

Laat ransomware niet het apparaat uw overnemen

Zorg ervoor dat uw apparaat beschermd is tegen ransomware.
Probeer Malwarebytes Premium 14 dagen gratis uit.

MEER WETEN

Van oliepijpleidingen en ziekenhuizen tot scholen, banken en liefdadigheidsinstellingen, het lijkt erop dat geen enkele organisatie immuun is voor ransomware-aanvallen. Het zijn niet alleen grote bedrijven die lijden onder deze cyberaanvallen. Kleine bedrijven zijn ook het doelwit van ransomware en kunnen het moeilijker hebben om te overleven omdat ze meestal minder middelen hebben dan grotere bedrijven om te herstellen.

Hoewel de wereldwijde WannaCry-aanval plaatsvond in 2017, zijn er in de jaren daarna veel andere soorten ransomware opgedoken. Laten we eens kijken naar WannaCry en waarom het zo'n belangrijk cyberincident was. 

Wat was de WannaCry ransomware-aanval? 

"Oeps, uw bestanden zijn versleuteld!"

In mei 2017 verspreidde WannaCry ransomware zich wereldwijd via computers met Windows. Bijna twee maanden daarvoor had Microsoft een beveiligingspatch uitgebracht voor EternalBlue, de exploit die de aanvallers gebruikten om de WannaCry-ransomware te verspreiden. Veel Windows gebruikers over de hele wereld hadden hun software echter niet bijgewerkt of gebruikten verouderde versies van Windows en waren dus kwetsbaar voor de grootschalige aanval. 

De WannaCry-aanvallers versleutelden Windows computers over de hele wereld en eisten een losgeld van aanvankelijk $300 aan Bitcoin, later $600 aan Bitcoin. In slechts enkele uren werden naar schatting 230.000 computers in 150 landen geïnfecteerd. Na zich aanvankelijk snel over de hele wereld te hebben verspreid, ontdekte beveiligingsonderzoeker Marcus Hutchins een noodschakelaar die de verspreiding van de aanval aanzienlijk vertraagde. 

WannaCry Ransomware besmetting heat map

Waarom was WannaCry zo succesvol?

Ransomware zoals WannaCry werkt meestal door uw bestanden te versleutelen of uw systeem te vergrendelen. Vervolgens wordt betaling geëist in de vorm van een cryptocurrency zoals Bitcoin, omdat dergelijke valuta moeilijker te traceren zijn dan elektronisch geld, cheques of contant geld. WannaCry heeft echter een aantal kenmerken waardoor het verschilt van een typische ransomware-aanval waarover u vandaag de dag leest.

Cybergangs gebruiken meestal pure ransomware voor gerichte aanvallen. Zie het als een pijl en boog in plaats van een katapult. De eerste is het beste om één doel tegelijk te raken, terwijl de tweede beter is om meerdere doelen te raken. De malware en de criminele bende achter de Colonial Pipeline ransomware-aanval waren bijvoorbeeld schijnbaar gericht op slechts één doelwit. Om de DarkSide ransomware te plaatsen, maakte de bende blijkbaar gebruik van een bekend wachtwoord voor een legacy Virtual Private Network (VPN) account.

Aan de andere kant was WannaCry meer een katapult. Het deed zijn naam eer aan door in slechts een paar uur honderdduizenden computers in meer dan 150 landen te infecteren. Het nam geen gevangenen en trof snel alle soorten systemen via bedrijfsnetwerken. Dus, waarom was de verspreiding van de WannaCry ransomworm zo wijdverspreid en succesvol?

1. Worm Bestanddeel

Een worm is een type malware dat bestanden kan verwijderen, bandbreedte kan verbruiken en zich snel kan verspreiden zonder een hostbestand nodig te hebben. Het verspreidt zichzelf, wat betekent dat het, in tegenstelling tot een virus, geen menselijke activering nodig heeft om zijn kwaadaardige activiteiten te starten. Bovendien kunnen wormen malware droppen zoals ransomware. WannaCry sloeg als een lopend vuurtje toe op Windows pc's dankzij de wormcomponent.

2. Uitbuitingen

Een exploit is een niet-gepatchte kwetsbaarheid in een systeem waar een cybercrimineel misbruik van kan maken voor kwaadaardige activiteiten. De fout waar WannaCry misbruik van maakt, zit in de manier waarop Windows het SMB-protocol (Server Message Block) beheert. In een notendop laat het SMB-protocol netwerkknooppunten met elkaar communiceren. Hoewel Microsoft de kwetsbaarheden in 2017 heeft gepatcht, gebruiken bedreigingsactoren de SMB-kwetsbaarheden ook nu nog voor Trojaanse paarden en ransomware-aanvallen omdat veel Windows gebruikers geen updates downloaden.  

Welke sectoren werden het hardst getroffen door WannaCry?

De WannaCry-aanval verspreidde zich zo snel en infecteerde wereldwijd zoveel computers dat veel bedrijfstakken werden getroffen. Deze omvatten: 

  • Gezondheidszorg
  • Noodgevallen
  • Security
  • Logistiek
  • Telecom
  • Gas
  • Benzine
  • Automotive
  • Onderwijs
  • Reclame

Hoeveel computers heeft WannaCry geïnfecteerd?

WannaCry heeft naar schatting 230.000 computers getroffen. De malware trof ziekenhuizen, hulpdiensten, tankstations en zelfs fabrieken. Volgens sommige schattingen lopen de financiële kosten van de aanval in de miljarden.

Wie heeft WannaCry gemaakt?

De Verenigde Staten geven Noord-Korea officieel de schuld van de WannaCry-aanval en hebben zelfs drie Noord-Koreanen aangeklaagd voor de malware en de Sony Pictures Entertainment-hack in 2014. Interessant is dat de NSA (National Security Agency) mogelijk ook een rol heeft gespeeld in de WannaCry-aanval, zij het onbedoeld.

Naar verluidt heeft de NSA het SMB-kwetsbaarheid ontdekt waarvan WannaCry misbruik maakt. Later zou dit zogenaamde EternalBlue-exploitatietool zijn gestolen van de inlichtingendienst en zijn gelekt door The Shadow Brokers (TSB), een hackersgroep.

Is WannaCry nog steeds een bedreiging?

WannaCry is voor een groot deel minder bedreigend dankzij de heldendaden van Marcus Hutchins. De Britse computerbeveiligingsonderzoeker ontwikkelde met behulp van reverse engineering en honeypots een kill switch die ervoor zorgde dat WannaCry niet verder kon worden uitgevoerd. Daarnaast vond een team van Franse onderzoekers een manier om sommige getroffen computers te ontsleutelen zonder losgeld te betalen.

WannaCry is echter nog steeds actief. Zorg ervoor dat u het besturingssysteem uw Windows regelmatig bijwerkt om ervoor te zorgen dat u over de nieuwste beveiligingspatches beschikt. u kan ook vertrouwen op Malwarebytes's intelligente anti-malwaretechnologie om Ransom.WannaCrypt proactief te detecteren en verwijderen.  

Wat doet WannaCry als het niet wordt betaald?

WannaCry eist $300 in Bitcoin na het vergrendelen van een systeem. Later verdubbelt het de afpersingskosten. Er wordt ook gedreigd om uw gegevens binnen drie dagen permanent te verwijderen. Hier op Malwarebytes raden we aan u niet te betalen aan ransomware bendes, deels omdat het meer ransomware bendes aanmoedigt die op zoek zijn naar een snelle manier om rijk te worden. Bovendien is er geen garantie dat ude bestanden van uw of de computer van uw zal ontgrendelen. Niet elk slachtoffer van WannaCry kreeg bijvoorbeeld zijn bestanden terug na het betalen van de vergoeding, mogelijk door een fout in de ransomware zelf.  

Wat zijn enkele goede strategieën om ransomware te beperken?

Gebruik voor de apparaten die u thuis gebruikt antivirus/anti-malware software die bescherming biedt tegen alle soorten kwaadaardige software, inclusief bescherming tegen ransomware. Voor bedrijven omvatten strategieën om ransomware te beperken: 

  1. Gebruik cyberbeveiligingssoftware die ransomware-bedreigingen kan detecteren en blokkeren. 
  2. Maak regelmatig back-ups van uw gegevens en air gap uw kritieke back-ups.
  3. Segment uw netwerk.
  4. Stop exploits door regelmatig te controleren op beveiligingsupdates.
  5. Wees op je hoede voor ransomware-dreigingsvectoren zoals phishing-e-mails.
  6. Stel complexe wachtwoorden in en wijzig ze regelmatig.
  7. Bescherm uw systeem en essentiële accounts met verificatie met twee factoren.

Malwarebytes anti-ransomware voor bedrijven

Malwarebytes Endpoint Detection and Response biedt reactiemogelijkheden die verder gaan dan alleen waarschuwingen, waaronder eigen Linking Engine Remediation en Ransomware Rollback.

MEER WETEN

WannaCry-artikelen van Malwarebytes Labs