WannaCry-hackers: pure amateurs of briljante marketeers?
De afgelopen dagen was heel de wereld in de ban van WannaCry, de grootschalige ransomware-aanval die wereldwijd honderdduizenden slachtoffers maakte, waaronder ook ziekenhuizen, overheidsdiensten en telecomoperatoren. Een week later blijven nog veel vragen onbeantwoord over de aanval, maar het is vooral het schijnbaar amateurisme van de hackers dat securityspecialisten de wenkbrauwen doet fronsen.
“Op vrijdag dacht iedereen dat het om een geavanceerde aanval ging. Vandaag denkt de securitywereld daar al helemaal anders over,” vertelt Eward Driehuis, Chief Research Officer bij SecureLink. “Dat is ook omwille van de codes die zijn gebruikt, de bitcoinadressen, het handmatige terugbetaalproces… Er is nog niemand die zijn bestanden heeft teruggekregen, ook al hebben ze betaald. Dat is vreemd, zelfs voor een cybercrimineel, omdat het slechte marketing is.”
Klantonvriendelijk
Slechte reclame betekent minder inkomsten. Dat zegt ook Tom Van Ginneken, Security Engineer bij Check Point. “Het slachtoffer moet de indruk krijgen dat de bestanden terug beschikbaar zullen zijn na betaling. Momenteel hebben we nog geen enkele melding dat iemand zijn bestanden heeft teruggekregen. Hierdoor zijn natuurlijk steeds minder personen geneigd om te betalen.” Van Ginneken trekt de lijn zelfs verder door; een goede ransomware heeft ook een goede “helpdesk” nodig, maar dat is voor WannaCry opnieuw niet het geval. “De hackers willen hun geld krijgen. Als slachtoffers moeilijk kunnen betalen, moeten ze geholpen worden. Er is in dit geval evenwel geen sprake van enige customer service, terwijl decryptie van bestanden vaak niet lukt.”
Volgens de laatste cijfers werden bijna 300.000 systemen geïnfecteerd. Minder dan 300 slachtoffers zijn evenwel tot betaling overgegaan, waardoor de totale buit voor de aanvallers op moment van schrijven ongeveer 90.000 dollar bedraagt. Dat is bitter weinig voor een ransomware-aanval op deze schaal. De meest succesvolle ransomwares slagen erin miljoenen dollars afhandig te maken alvorens ze een halt worden toegeroepen.
Magere buit
De inkomsten van de WannaCry-aanval kunnen bovendien zeer eenvoudig worden getraceerd (de Twitter-bot @actual_ransom geeft realtime updates van betalingen) omdat er slechts drie bitcoinadressen worden gebruikt, die bovendien hard gecodeerd zijn in de malwarecode. “Dat is vreemd aangezien deze adressen nu veel aandacht zullen krijgen en nauwgezet wordt gemonitord waar de transacties naartoe zullen gaan,” weet Albert Kramer, Technical Director bij Trend Micro. “Ergens op een bitcoin exchange tussen de virtuele en echte wereld zal de anonimiteit niet meer gegarandeerd zijn.”
Het gebruik van slechts drie bitcoinadressen zorgt er bovendien voor dat decryptie van bestanden bijna onmogelijk wordt op deze schaal. “In tegenstelling tot andere ransomware heeft WannaCry niet de mogelijkheid om een betaling te linken aan de persoon die de betaling heeft gedaan,” legt Van Ginneken uit. “Andere ransomware, zoals Cerber, genereren een unieke ID en bitcoin wallet voor elk slachtoffer, zodat ze weten naar wie ze de decryptiesleutels moeten sturen.”
De vraag rijst daarom of de criminelen wel ooit de intentie hadden om gegijzelde bestanden na betaling opnieuw te ontsleutelen. “Misschien waren de aanvallers initieel wel van plan om bestanden te decrypteren, maar hadden ze niet verwacht dat de ransomware zoveel systemen zou infecteren en werden ze overweldigd,” suggereert Tim Berghoff, Security Evangelist bij G Data. “Dat zou dan weer betekenen dat ze zich niet echt bewust waren van de mogelijkheden van de exploit-code die ze gebruikten.”
Killswitch
Een ander element dat vragen oproept bij securityspecialisten, is de zogenaamde killswitch die al snel in de code werd ontdekt. Een Britse beveiligingsonderzoeker kon de verspreiding van WannaCry afgelopen weekend tijdelijk stopzetten nadat hij een ongeregistreerde domeinnaam in de code had aangetroffen en die op zijn naam registreerde. Sindsdien zijn evenwel nieuwe varianten en copycats van de ransomware opgedoken, met én zonder killswitch.
[related_article id=”215193″]“Een plausibele theorie is dat ze [de killswitch] wilden gebruiken als handrem, om hun eigen proces te beheersen,” meent Eward Driehuis. Door de killswitch te activeren, zouden de aanvallers de verspreiding tijdelijk een halt kunnen toeroepen wanneer de afhandeling van betalingen en decrypties te veel werd. Volgens Albert Kramer zou de killswitch ook wel eens bedoeld kunnen zijn om sandbox-omgevingen te detecteren. Hij legt uit: “Een sandbox is een detectie-omgeving voor kwaadaardige code waarbij de klant-situatie wordt nagebootst. De sandbox zal wel reageren op een internetverzoek en daardoor weet de kwaadaardige code dat het een sandbox-omgeving is, waardoor de code niet geactiveerd wordt.” Door het domein actief te maken, gebeurt hetzelfde en denkt de malware dat het in een sandbox zit.
Tom Van Ginneken heeft zijn twijfels bij die theorieën: “Als je geld wil verdienen als hacker, ga je geen rem inbouwen. Om een sandbox te omzeilen, moet je werken met een compleet willekeurige url die je niet kan registreren en niet hard gecodeerd is.” Ook Tim Berghoff noemt het resoluut een fout van de criminelen. “De vraag is, welke fout is het? Zijn ze vergeten het domein te registreren of hadden ze helemaal geen weet van de killswitch? Het eerste zou een vergissing zijn, het tweede een compleet gebrek aan wereldwijsheid.”
Weekendwerk
Dan is er nog de timing van de aanval. De eerste meldingen van infecties doken vrijdagnamiddag op, wanneer de werkweek stilaan op zijn einde liep. Nochtans hebben cyberaanvallen over het algemeen meer effect wanneer ze in het midden van de week gebeuren. “Als je de grootste impact wil hebben, kun je dit beter niet vlak voor het weekend doen aangezien dit bedrijven en beveiligingsorganisaties de tijd geeft om tegenmaatregelen te nemen,” verduidelijkt Kramer. ”Wanneer je slachtoffers drie dagen de tijd geeft om te betalen, is het vreemd om de aanval op vrijdag te lanceren,” vindt ook Berghoff. “Maar het kan ook een uitgekiende strategie zijn, want na drie dagen verhoogt het gevraagde bedrag en dus ook de potentiële winst voor de criminelen.”
Berghoffs collega Eddy Willems, eveneens Security Evangelist bij G Data, meent dat de aanval op vrijdag strategisch net wel een goede zet was. “De moeilijkste ransomware die we zien, wordt meestal in het weekend gelanceerd. Er is minder aandacht. Mensen gaan vroeger naar huis of nemen een halve dag, en dat geldt ook in antivirusbedrijven,” legt hij uit. Als de aanval zich tijdens het weekend ongemerkt verspreidt en pas maandag wordt opgemerkt, is er veel meer kans op succes.
Amateurs of niet?
De WannaCry-aanval van de voorbije dagen bevat voldoende blunders om de professionaliteit van de criminelen in vraag te stellen. Hoewel de malware zich wereldwijd razendsnel heeft verspreid, heeft de aanval maar weinig geld opgeleverd in vergelijking met andere ransomware. De vele fouten, gepaard met de schijnbare link met Noord-Korea, doen de vraag rijzen of de hackers wel uit waren op geld, of er meer achter schuilgaat.
“Alles bij elkaar opgeteld, kan je je inderdaad afvragen: is dit amateuristisch werk om een groter doel te verbergen? Of omdat het amateurs zijn? Wat mij betreft… if it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck,” besluit Eward Driehuis. “Deze uitbraak zou gezien kunnen worden al een eerste test of opmaak naar een grotere aanval met andere middelen,” speculeert Albert Kramer. “Het zal in ieder geval zeker de creativiteit van andere criminelen aanwakkeren die hetzelfde gaan proberen, maar dan zonder de gemaakte “foutjes” zoals afgelopen weekend.”
Eddy Willems gooit het over een andere boeg: “Wat als de Shadow Brokers op één of andere manier achter de aanval zitten en dit niet om geldgewin gaat, maar pure promotie is?” Shadow Brokers is het hackerscollectief dat eerder dit jaar een aantal hackingtools van de NSA op straat heeft gegooid, waaronder ook de EternalBlue-exploit die in deze aanval werd gebruikt om de ransomware te verspreiden. Deze week kondigde de groep aan dat het tegen betaling nog meer exploits wil onthullen. “Met de aanval van deze week hebben ze aangetoond wat voor schade hun exploits kunnen aanrichten. Dat is de beste marketing. Ofwel was zichtbaarheid de bedoeling, ofwel wisten de hackers niet waar ze mee bezig waren.”
Om uitsluitsel te krijgen over wie er achter de aanval zit en wat de intenties waren, is verder onderzoek nodig. Securitybedrijven en politiediensten wereldwijd werken daarvoor nauw samen, maar dit soort onderzoek kan soms maanden of jaren in beslag nemen. Mogelijk zullen we zelfs nooit een antwoord krijgen op alle vragen.
Niets nieuws onder de zon
Hoewel WannaCry massaal op wereldwijde media-aandacht kon rekenen, is de aanval eigenlijk niets nieuws.
“In maart zagen we al een eerste versie van WannaCry opduiken,” vertelt Eddy Willems, Security Evangelist bij G Data. “Wat wel nieuw is, is de worm-functie die weer wordt ingebouwd.” Daarmee doelt Willems op de capaciteit van WannaCry om zich verder te verspreiden naar andere systemen binnen hetzelfde netwerk. Het is voor dit deel van de aanval, dat de hackers de EternalBlue-exploit van de Shadow Brokers gebruikten.
“De malware is tweeledig,” zegt ook Tom Van Ginneken, Security Engineer bij Check Point. “Enerzijds is er de cryptolocker, anderzijds de EternalBlue-exploit die wordt misbruikt om het netwerk te besmetten. Allebei zijn vrij verkrijgbaar op het internet.” Zo kwam deze week ook aan het licht dat EternalBlue al een hele tijd gebruikt wordt voor een botnet waarmee naar de cryptocurrency Monero wordt gemijnd.
De hackers moesten niet veel meer doen dan de blokken die reeds voor handen waren op de juiste manier in elkaar zetten. Het hoeven dus helemaal geen ervaren malwareschrijvers te zijn, wat de vele blunders kan verklaren.