Gigantische ransomware-aanval maakt wereldwijd tienduizenden slachtoffers

De aanval maakt misbruik van een lek in Windows en kan zich automatisch over een netwerk verspreiden.

Een grootschalige ransomware-aanval maakt in snel tempo wereldwijd slachtoffers. Volgens securityspecialist Kaspersky waren gisterenavond al zeker 45.000 computers in minstens 74 landen getroffen. Het uiteindelijke aantal besmettingen ligt nog veel hoger. Onder meer ziekenhuizen, overheidsinstellingen en telecomoperatoren werden getroffen.

De aanvallers maken gebruik van de Wana Decrypt0r 2.0-ransomware, ook wel bekend als ‘WannaCry’, en eisen 300 tot 600 dollar in bitcoin om de getroffen computers weer te deblokkeren. Als het slachtoffer niet betaalt binnen drie dagen, worden alle bestanden op het systeem gewist. De malware verspreidt zich via e-mail, en kan zich vervolgens binnen hetzelfde netwerk automatisch verder verspreiden naar andere computers.

Geïnfecteerde systemen krijgen deze melding te zien. (Beeld: Kaspersky)

Het grootste deel van de infecties werd vastgesteld in Rusland, waar onder meer 1.000 pc’s van het ministerie voor Binnenlandse Zaken werden getroffen. In Spanje viel telecomoperator Telefonica bij de slachtoffers, net als veertig afdelingen en ziekenhuizen van de NHS in het Verenigd Koninkrijk. In de Verenigde Staten zou ook pakjesbedrijf FedEx slachtoffer zijn gevallen.

In België en Nederland zijn nog geen aanvallen bekend, maar er werd volgens het Nederlandse beveiligingsbedrijf Fox-IT wel een Nederlands taalpakket aangetroffen in de cryptolocker.

Update 13/05/2017; 11u: In België zou alvast een geval bekend zijn. Volgens Newsmonkey werd een bedrijf uit Charleroi slachtoffer van de ransomware.

Geografische distributie van de ransomware-aanval volgens gegevens van Kaspersky.

NSA-exploit

De infectie maakt gebruik van de EternalBlue-exploit, die een lek in Windows misbruikt. EternalBlue zou zijn ontwikkeld door de NSA en werd publiek gemaakt door het hackerscollectief Shadow Brokers als onderdeel van een data dump in april. Hoewel het lek in maart al werd gedicht door Microsoft als onderdeel van zijn maandelijkse beveiligingsupdates, blijkt dat veel systemen nog steeds kwetsbaar zijn.

Het duidt nog maar eens op het belang om snel te updaten. Voor bedrijven en overheidsdiensten is dat evenwel niet altijd mogelijk, en zij werden nu op snelheid gepakt. Grote organisaties zijn bijzonder conservatief om nieuwe updates uit te rollen, omdat ze vaak rekening moeten houden met compatibiliteit met legacy software en geen risico kunnen lopen dat de updates voor problemen zorgen.

Windows XP

In het geval van de Britse ziekenhuizen meldt The Guardian bijvoorbeeld dat er nog altijd gebruik werd gemaakt van computers van Windows XP, waarvoor de patch niet eens beschikbaar was. Microsoft stopte immers al in 2014 met de ondersteuning van dat besturingssysteem. Klokkenluider Edward Snowden tweette vrijdag dat de NSA de ziekenhuizen had moeten inlichten over het lek toen de NSA het ontdekte, zodat ze meer tijd hadden om hun systemen voor te bereiden.

Omwille van de impact van de aanval, heeft Microsoft uitzonderlijk toch een beveiligingsupdate publiek beschikbaar gemaakt voor niet-ondersteunde versies van Windows, waaronder Windows XP, Windows 8 en Windows Server 2003. Daarnaast stuurde het reeds een update uit voor Windows Defender die de cryptolocker kan detecteren en raadt het gebruikers aan een geüpdatete antivirus te gebruiken. Het benadrukt ten slotte dat geen Windows 10-systemen werden getroffen in de aanval.

Killswitch

Update 13/05/2017; 11u: Een Britse beveiligingsonderzoeker die schuilgaat achter het Twitter-account @MalwareTechBlog heeft ‘per ongeluk’ een killswitch ontdekt die de verspreiding van de ransomware tijdelijk heeft stopgezet. Dat meldt The Guardian.

https://twitter.com/MalwareTechBlog/status/863187104716685312

Tijdens een onderzoek van de code stootte hij op een regel die aangaf dat de ransomware probeert contact te zoeken met een domeinnaam bestaande uit willekeurige tekens. Dat domein bleek niet geregistreerd en dus betaalde de onderzoeker 10 dollar om het op zijn naam te zetten. Dat creëerde tot zijn eigen verrassing een sinkhole die de verspreiding van ‘WannaCry’ een halt toeriep.

Het gaat evenwel maar om een tijdelijke oplossing. De criminelen achter de ransomware kunnen de verspreiding opnieuw in gang zetten door de regel code simpelweg aan te passen. Het blijft dus zaak om systemen zo snel mogelijk te updaten om helemaal beschermd te zijn.

Beveiligingnsaransomwareshadow brokerswannacry

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken