De WannaCry-ransomware heeft de afgelopen dagen honderdduizenden systemen over de hele wereld besmet. Aan de hand van tien vragen leggen we uit wat er precies is gebeurd en hoe u besmetting voorkomt.
Q: Wat is WannaCry?
A: WannaCry is een unieke combinatie van twee typen malware: een worm die zichzelf verspreidt en ransomware – software die uw bestanden gijzelt door ze te versleutelen en daarna om losgeld vraagt. In het geval van WannaCry gaat het om een bedrag van 300 dollar in bitcoins. Deze digitale munteenheid is populair onder cybercriminelen, omdat ze hiermee anoniem kunnen blijven. Na drie dagen niet betalen, verdubbelt het bedrag dat de daders vragen om de versleuteling ongedaan te maken.
Q: Hoe werkt WannaCry precies?
A: WannaCry maakt gebruik van een kwetsbaarheid in Windows die MS17-010 heet. Het gaat hierbij om een probleem in Microsoft Windows SMB Server. Deze technologie wordt al vele jaren gebruikt om bestanden en printers binnen een lokaal netwerk te delen. Mogelijk is het eerste slachtoffer geïnfecteerd via e-mail, maar daarna heeft WannaCry zich via deze kwetsbaarheid naar andere partijen verplaatst.
Na een infectie versleutelt WannaCry alle bestanden waar het bij kan, inclusief harde schijven en externe opslagmedia. Vervolgens voert deze ‘ransomwareworm’ een scan uit om nieuwe systemen te vinden die niet beschermd zijn. Zo kan de malware zich razendsnel verspreiden. Een uitgebreide technische analyse van WannaCry vindt u hier.
Q: Wat heeft Microsoft tegen WannaCry gedaan?
A: Windows-ontwikkelaar Microsoft heeft in maart al een patch vrijgegeven voor MS17-010. Dit betekent echter niet dat alle kwetsbare Windows-systemen ook meteen zijn gepatcht. Zo kiezen veel IT-afdelingen ervoor om patches eerst te testen in de eigen omgeving.
Er zijn ook organisaties die nog gebruikmaken van verouderde Windows-versies (zoals Windows XP) die Microsoft niet meer ondersteunt. Daardoor verschijnen voor deze besturingssystemen geen beveiligingsupdates meer. Microsoft heeft dit weekeinde overigens bij wijze van uitzondering toch patches uitgebracht voor deze Windows-versies.
Q: Wie heeft de kwetsbaarheid ontdekt?
A: Volgens Microsoft is het lek ontdekt door de Amerikaanse inlichtingendienst NSA. De geheime dienst gebruikte de kwetsbaarheid om verdachten te bespioneren. De NSA hield het lek stil, maar de hackmethode werd gestolen en verscheen later op internet. Microsoft haalde in een blogpost dan ook hard uit naar de NSA en andere geheime diensten. “Vergeleken met conventionele wapens zou dit hetzelfde zijn als wanneer het Amerikaanse leger een paar Tomahawk-raketten kwijt zou zijn.”
Q: Hoeveel schade heeft WannaCry aangericht?
A: Het aantal slachtoffers van WannaCry wereldwijd wordt geschat op 230.000 in meer dan 150 landen. Zo werden in Engeland tientallen ziekenhuizen en zorginstellingen getroffen waardoor patiënten moesten uitwijken. Ook een Spaanse telecombedrijf, een Franse autofabrikant en het Duitse vervoersbedrijf ondervonden hinder van WannaCry.
Het is slechts een greep uit de vele bedrijven en overheidsinstellingen die door de ransomware zijn verrast. En de teller loopt nog. In Nederland lijkt de schade mee te vallen.
Q: Wat is de stand van zaken nu?
A: Over de huidige situatie bestaat de nodige onduidelijkheid. WannaCry werd in eerste instantie bijna per toeval een halt toegeroepen door een Britse veiligheidsexpert die in de malwarecode een webadres aantrof. WannaCry controleert of deze site kan worden bereikt. Zo niet, dan verspreidt de ransomware zich verder. De veiligheidsexpert registreerde de website en neutraliseerde zo de aanval.
Deze zogenoemde killswitch lijkt echter maar tijdelijk te hebben geholpen. Zo zijn er al nieuwe varianten van WannaCry gedetecteerd die niet gevoelig zijn voor een killswitch. De komende dagen moet blijken of we nog meer grote aanvallen kunnen verwachten.
Q: Hoe voorkom ik besmetting?
A: Om infectie met WannaCry te voorkomen, is het cruciaal dat alle Windows-systemen binnen uw organisatie zo snel mogelijk worden gepatcht. Een meer structurele aanpak van ransomware vraagt echter om een groot aantal preventieve en detectieve maatregelen, waarbij u rekening houdt met zowel de mensen en processen als de techniek.
Het is bijvoorbeeld belangrijk om uw werknemers te trainen in het herkennen van phishingaanvallen, regelmatig meerdere back-ups te maken én testen en geavanceerde beveiligingsoplossingen te gebruiken. Meer informatie over een optimale verdediging tegen ransomware kunt u vinden in onze whitepaper ‘De beste bescherming tegen ransomware – Op weg naar een weerbare organisatie’.
Q: Wat kan ik doen als ik besmet ben?
A: Er is helaas geen eenvoudige oplossing voor een WannaCry-infectie. Op termijn zullen er waarschijnlijk decryptietools worden ontwikkeld om versleutelde bestanden te herstellen, maar dit kan weken of maanden duren. Als u zeker weet dat u een goede en actuele back-up heeft, kunt u de versleutelde bestanden weggooien en de back-up terugzetten. Lees hier de Alert van DearBytes, de ransomwarespecialist binnen KPN, met instructies hoe u kunt handelen.
Maar wat u ook doet: KPN adviseert u om het losgeld niet te betalen. Niet alleen houdt u daarmee het systeem in stand, ook zijn er nog geen gevallen bekend van WannaCry-slachtoffers die na betaling ook daadwerkelijk hun bestanden terugkregen. De kans is dus levensgroot dat het overmaken van het losgeld helemaal niets uitricht.
Q: Wat doet KPN?
A: KPN neemt voortdurend securitymaatregelen, zodat onze netwerken en de dienstverlening aan onze klanten zo veilig mogelijk zijn. We hebben naar aanleiding van deze kwetsbaarheid ook extra maatregelen getroffen. Om op de hoogte te blijven van toekomstige alerts kunt u zich abonneren op de nieuwsberichten van DearBytes.
Q: Wie kan ik bellen voor eventuele vragen?
A: We kunnen ons voorstellen dat u na alle berichtgeving nog vragen heeft. U kunt KPN bereiken via managedsecurityservices@kpn.com of neem contact op met uw service manager of kijk op onze website voor meer informatie.
KPN en DearBytes
KPN kan uw organisatie bijstaan in het geval van een besmetting of bij het treffen van preventieve maatregelen. We werken hiervoor nauw samen met DearBytes, een onderdeel van KPN dat gespecialiseerd is in de bestrijding van ransomware en andere vormen van malware. Wilt u sparren met een van onze experts? Neem dan gerust contact met ons op.
Colofon
© KPN Security Services 2017
Hebt u nog vragen en/of opmerkingen, neem dan contact op met uw KPN account- of servicemanager of stuur een e-mailbericht naar supportdesk-so@kpn.com. Wij streven ernaar om binnen één werkdag contact met u op te nemen.