WannaCry-aanval kon twee decennia geleden al voorkomen worden

Een beveiligingsexpert bij het Finse cybersecuritybedrijf F-Secure laat zijn licht schijnen op de grootschalige ransomware-uitbarsting van het voorbije weekend.
[related_article id=”215193″]

Als organisaties niet nalatig waren met hun beveiliging, dan was de grootschalige ransomware-aanval nooit voorgekomen, aldus Jarno Niemelä. De onderzoeker bij het Finse beveiligingsbedrijf F-secure verleent meer inzicht bij de omvangrijke cybergijzeling van de voorbije week. Naar aanleiding van zijn blogpost, waar hij het heeft over de technische architectuur van het WannaCry-virus, namen we contact met hem op.

Gedateerde virusarchitectuur

“Het WannaCry-virus is een hele primitieve besmetting die sterk lijkt op het Blaster-virus uit 2003”, vertelt Niemelä. Dit was een worm die zich in je computer nestelde en zo acht tot zestien miljoen slachtoffers maakte. Het WannaCry-virus is ook een worm die zich op een gelijkaardige manier in het besturingssysteem verstrengelt, maar Blaster bracht wel geen ransomware met zich mee.

In de blogpost verduidelijkt Jarno de technische specificaties van het virus. De worm die de afgelopen dagen furore maakte, bestaat feitelijk uit twee verschillende componenten: eentje die de infectie verspreidt en zijn lading aflevert in systemen, en een ander die bestaat uit ransomware. De cyberboefjes maakten gebruik van een lek in de Server Message Block-poort (SMB) 445, die al publiekelijk beschikbaar was op de lekkendatabank exploit-db.com. Alle recente besturingssystemen waren dus al een ruime tijd gepatcht. Door een gedateerd achterpoortje konden de ontwikkelaars van de ransomware hun beruchte rode venster op miljoenen schermen projecteren en van onwetende slachtoffers losgeld aftroggelen.

“Alle cybercriminelen willen eigenlijk maar één ding: de controle van je machine overnemen. Hoe aanvallers dat doen, is doorheen de tijd veranderd. Eens ze die machtigingen hebben bereikt, zijn de mogelijkheden legio, zoals je bankgegevens stelen of ransomware op je systeem droppen om losgeld te eisen. Maar ransomware vormt slechts de tweede stap, eerst moeten ze een manier hebben om binnen te dringen in je systeem.”

Alle cybercriminelen willen eigenlijk maar één ding: de controle van je machine overnemen. Hoe aanvallers dat doen, is doorheen de tijd veranderd.

Nalatigheid

Wormen zijn normaliter geen efficiënte manier meer om in te breken. In de afgelopen twee decennia is de beveiliging tegen deze cyberinsecten immers zo sterk geworden, dat de digitale beestjes bijna niet meer voorkomen. “Daarom zijn mensen lui geworden”, verduidelijkt de beveiligingsexpert. “Sinds het begin van de jaren 2000 leer je al op school hoe je je beschermt tegen dergelijke infecties. Het is gewoon onbegrijpelijk dat zoveel machines besmet raakten, zeker bij grotere organisaties waarmee je persoonlijke gegevens deelt. Van een dokter verwacht je toch ook dat hij de basistechnieken onder de knie heeft en zijn handen wast vooraleer hij begint aan een operatie?”

Van een dokter verwacht je toch ook dat hij de basistechnieken onder de knie heeft en zijn handen wast vooraleer hij begint aan een operatie?

In de laatste vijf jaar zijn er bijna geen infecties meer met wormen gedetecteerd. “Daardoor werden mensen en organisaties nalatig met hun beveiliging, iets wat je vaak tegenkomt in cybersecurity. Beveiligingssystemen worden beter als ze voortdurend worden aangevallen. Toch mag het geen excuus zijn: wij hebben miljoenen klanten, en enkel een handjevol van hen zijn geïnfecteerd door de ransomware. Vermoedelijk werden hun bestanden versleuteld omdat ze zelf met de firewall-instellingen hebben geknoeid, maar dat moet verder onderzoek nog uitwijzen.”

Beveilig je systeem, nu meteen

Een goed beveiligd systeem hoeft geen schrik te hebben van WannaCry, beweert Niemelä. “Er was al een patch voorzien zestig dagen geleden, maar een degelijke firewall hoort dit virus ook tegen te houden. Ik stel hierbij twee mogelijke conclusies: oftewel schakelen mensen hun firewall uit of hebben ze geprutst met de instellingen, oftewel maken ze gebruik van een incapabel gratis antiviruspakket die geen degelijke firewall bevat.”

[related_article id=”215400″]

Als je als organisatie toekomstige ransomware-aanvallen wilt vermijden, zijn er drie stappen die je moet ondernemen. “Zorg voor een degelijke firewall, ook in de hosts. Een workstation hoort geen binnenkomende verbindingen te krijgen van servers. Ten tweede, zorg dat je je systemen patcht om beveiligingslekken in je besturingssysteem te vermijden. Ten slotte, zorg voor een goed beveiligingssoftware. Voor consumenten is het ook geen overbodige luxe om te betalen voor een goede antivirussuite. Op deze manier heb je drie lagen van beveiliging die moeten verhinderen dat het gros aan malware in je systeem binnendringen.”

Geen werk van professionals

Het WannaCry-virus is volgens Niemelä het werk van amateurs. “Het zag er niet erg gesofisticeerd uit, naast het feit dat ze gebruik maakten van een worm om in te breken. Zo verkregen de aanvallers geen individuele data van hoeveel personen losgeld hebben betaald. De infrastructuur zat dus heel simpel in elkaar. Daarnaast proberen cybercriminelen altijd onder de radar te blijven. Een omvangrijke aanval als dit zorgt daarentegen voor een grootschalige klopjacht. Wees er maar zeker van dat de aanvallers nooit zo’n immense impact hadden verwacht en nu levenslang moeten vluchten. Overheidsinstanties overal ter wereld zitten hen nu op de hielen.

 

beveiligingblasterf-securewannacry

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600