De aanval maakt misbruik van een lek in Windows en kan zich automatisch over een netwerk verspreiden.

Een grootschalige ransomware-aanval maakt in snel tempo wereldwijd slachtoffers. Volgens securityspecialist Kaspersky waren gisterenavond al zeker 45.000 computers in minstens 74 landen getroffen. Het uiteindelijke aantal besmettingen ligt nog veel hoger. Onder meer ziekenhuizen, overheidsinstellingen en telecomoperatoren werden getroffen.

De aanvallers maken gebruik van de Wana Decrypt0r 2.0-ransomware, ook wel bekend als ‘WannaCry’, en eisen 300 tot 600 dollar in bitcoin om de getroffen computers weer te deblokkeren. Als het slachtoffer niet betaalt binnen drie dagen, worden alle bestanden op het systeem gewist. De malware verspreidt zich via e-mail, en kan zich vervolgens binnen hetzelfde netwerk automatisch verder verspreiden naar andere computers.

Geïnfecteerde systemen krijgen deze melding te zien. (Beeld: Kaspersky)

Het grootste deel van de infecties werd vastgesteld in Rusland, waar onder meer 1.000 pc’s van het ministerie voor Binnenlandse Zaken werden getroffen. In Spanje viel telecomoperator Telefonica bij de slachtoffers, net als veertig afdelingen en ziekenhuizen van de NHS in het Verenigd Koninkrijk. In de Verenigde Staten zou ook pakjesbedrijf FedEx slachtoffer zijn gevallen.

In België en Nederland zijn nog geen aanvallen bekend, maar er werd volgens het Nederlandse beveiligingsbedrijf Fox-IT wel een Nederlands taalpakket aangetroffen in de cryptolocker.

Update 13/05/2017; 11u: In België zou alvast een geval bekend zijn. Volgens Newsmonkey werd een bedrijf uit Charleroi slachtoffer van de ransomware.

Geografische distributie van de ransomware-aanval volgens gegevens van Kaspersky.

NSA-exploit

De infectie maakt gebruik van de EternalBlue-exploit, die een lek in Windows misbruikt. EternalBlue zou zijn ontwikkeld door de NSA en werd publiek gemaakt door het hackerscollectief Shadow Brokers als onderdeel van een data dump in april. Hoewel het lek in maart al werd gedicht door Microsoft als onderdeel van zijn maandelijkse beveiligingsupdates, blijkt dat veel systemen nog steeds kwetsbaar zijn.

Het duidt nog maar eens op het belang om snel te updaten. Voor bedrijven en overheidsdiensten is dat evenwel niet altijd mogelijk, en zij werden nu op snelheid gepakt. Grote organisaties zijn bijzonder conservatief om nieuwe updates uit te rollen, omdat ze vaak rekening moeten houden met compatibiliteit met legacy software en geen risico kunnen lopen dat de updates voor problemen zorgen.

Windows XP

In het geval van de Britse ziekenhuizen meldt The Guardian bijvoorbeeld dat er nog altijd gebruik werd gemaakt van computers van Windows XP, waarvoor de patch niet eens beschikbaar was. Microsoft stopte immers al in 2014 met de ondersteuning van dat besturingssysteem. Klokkenluider Edward Snowden tweette vrijdag dat de NSA de ziekenhuizen had moeten inlichten over het lek toen de NSA het ontdekte, zodat ze meer tijd hadden om hun systemen voor te bereiden.

Omwille van de impact van de aanval, heeft Microsoft uitzonderlijk toch een beveiligingsupdate publiek beschikbaar gemaakt voor niet-ondersteunde versies van Windows, waaronder Windows XP, Windows 8 en Windows Server 2003. Daarnaast stuurde het reeds een update uit voor Windows Defender die de cryptolocker kan detecteren en raadt het gebruikers aan een geüpdatete antivirus te gebruiken. Het benadrukt ten slotte dat geen Windows 10-systemen werden getroffen in de aanval.

Killswitch

Update 13/05/2017; 11u: Een Britse beveiligingsonderzoeker die schuilgaat achter het Twitter-account @MalwareTechBlog heeft ‘per ongeluk’ een killswitch ontdekt die de verspreiding van de ransomware tijdelijk heeft stopgezet. Dat meldt The Guardian.

https://twitter.com/MalwareTechBlog/status/863187104716685312

Tijdens een onderzoek van de code stootte hij op een regel die aangaf dat de ransomware probeert contact te zoeken met een domeinnaam bestaande uit willekeurige tekens. Dat domein bleek niet geregistreerd en dus betaalde de onderzoeker 10 dollar om het op zijn naam te zetten. Dat creëerde tot zijn eigen verrassing een sinkhole die de verspreiding van ‘WannaCry’ een halt toeriep.

Het gaat evenwel maar om een tijdelijke oplossing. De criminelen achter de ransomware kunnen de verspreiding opnieuw in gang zetten door de regel code simpelweg aan te passen. Het blijft dus zaak om systemen zo snel mogelijk te updaten om helemaal beschermd te zijn.

37 REACTIES

  1. In de eerste instantie de fout van Microsoft die maar eventueel via een BETALEND abonnement Win XP MOET blijven ondersteunen… De naam van het OS speelt geen rol en kunnen ze via updates wel veilig houden als ze willen! Maar de netwerkbeheerders treft evenveel schuld! Ik zou niet graag beheerder zijn van een firma die hierdoor getroffen is!

      • Héla hakker… :o) Goed lezen voor je mij weer wilt……….. (invullen naar keuze)
        We zijn 2017 ondertussen!

        Ik wist dat ze dit tijdelijk gingen doen en de termijn al verstreken moest zijn…
        Het betreft een artikel van 2015 en was maar voor 6 maanden…

        vrijdag 24 april 2015, 07:45 door Redactie, 36 reacties

        Het nu afgesloten contract geldt voor een periode van zes maanden. Microsoft heeft de prijs per computer echter verhoogd, omdat de meeste organisaties geen Windows XP meer gebruiken.

        Ik heb trouwens geen enkel artikel gevonden van 2016-2017 waar er nog XP abo’s worden aangeprezen Marc!!!

        Tenslotte zijn er nog genoeg particulieren die XP (nillens willens) blijven adoreren.
        Geen probleem als je van het internet wegblijft, maar hoeveel moderne hardware werkt er nu nog onder XP?

        Werken ze bij u nog met XP misschien Marc???
        Werk jij soms als netwerker bij het OCMW van Zwankendamme? lol

        ☺☺☺

        • “k heb trouwens geen enkel artikel gevonden van 2016-2017 waar er nog XP abo’s worden aangeprezen Marc!!!”
          Jij kan niet alles lezen én niet alles wordt gepubliceerd garnaal !

          “Werken ze bij u nog met XP misschien Marc???”
          Zot zekers !!

          • Ik ga er trouwens toch weer moeten mee werken want ik heb nog een dure videomontagekaart van Canopus met eigen montageprogramma die enkel deftig met XP werken… (Nu er geen montage-videorecorders en DVD-recorders meer te vinden zijn en heb ik nog veel Super-VHS beeldmateriaal liggen dat ik nog eens moet monteren of hermonteren.

            Met Vista werkte de kaart nog met externe programma’s en sedert Win 7 werd deze kaart ook niet meer ondersteund en daar stond ik dan! Een DVD branden met een DVD (stand alone) recorder bracht nog uitsluitsel, maar dit is nu ook weer naar het museum verwezen!

            Ik zal enkel nog moeten uitvissen of ik XP gemakkelijk op de SSD zal krijgen anders ga ik terug een oude IDE moeten aansluiten…
            Misschien XP virtueel installeren onder Win7 of Win10? Maar geen ervaring genoeg mee. Heb daar wel mee geëxperimenteerd om te browsen en gamen vroeger, maar nog nooit geen volledige besturing virtueel opgezet.
            Ik draai wel dual-boot met Linux en vroeger ook nog met XP erbij, maar sedert de SSD’s XP niet meer teruggezet wegens te weinig plaats.

            Enfin, zorgen voor straks als ik een nieuwe desktop aanschaf en mijn huidige als montagerecorder ga proberen op te zetten… (zonder internet natuurlijk).

            ***

          • Ik geloof er niet in dat er geen achterpoortjes in gelijk welk oud en nieuw systeem zullen zitten. Elk normaal denken mens is zich daar van bewust. Ik vrees dat de open systemen zelfs nog gevaarlijker kunnen zijn! Iedereen mag daarin knoeien…

          • “Ik vrees dat de open systemen zelfs nog gevaarlijker kunnen zijn! Iedereen mag daarin knoeien…”
            *PATS!* draai om uw oren voor zoveel dommigheid.
            Zo werkt dat niet hoor!!

          • Zo werkt dat niet!!
            Dat wordt altijd beweerd… maar ik mag toch twijfelen?
            Er zijn Linux-distro’s die toch ook niet te vertrouwen zijn heb ik ooit gelezen!
            Wat heeft dat nu weer met domheid te maken? Ik schrijf die artikels niet!

          • Niet in de kernel maar wel via PPA’s.
            Er wordt ook afgeraden om Wine op te zetten of andere emulatoren…
            Maar soms kan je gewoon niet anders!
            En dan zitten weer in het zelfde schuitje zoals Windows.
            Enfin, ik wou maar aantonen dat niks 100% naar het gedacht is Marc!
            Ik draai zelf Linux en heb voorlopig nog geen problemen gehad zelfs met PPA’s.
            Allez, hoop ik toch, want je kan dat niet controleren zeker. Het had veel voeten in de aarde om Yelo van Telenet draaiende te krijgen… en een vervanger voor Silverlight te installeren bvb…
            De app’s in de Play Store van Google werken ook niet altijd en dan moet je de fabrikant ook maar vertrouwen. Onlangs op die manier nog een digiwatch app moeten installeren op een tablet. Als het verkeerd gaat, scheelt dat dan aan Google of aan de fabrikant? Ik ben geen IT’er en alle respect voor jullie job, maar voor velen is het waarschijnlijk ook niet gemakkelijk om mee te kunnen in deze steeds veranderende materie.
            Ik kan nu nog redelijk goed mijne plan trekken en vervang en herstel ook in de mate mogelijk mijn hardware en met software kan ik mijne plan trekken. Maar er zijn te veel anderen die het zéér moeilijk hebben en nog geen virusscanner kunnen installeren… Wat moeten die mensen dan zeggen als ze de krant lezen en bang worden gemaakt als ze voor de eerste keer horen over Ransomware bvb…

          • ” ik wou maar aantonen dat niks 100% naar het gedacht ”
            Niet alleen wordt dat nergens beweerd maar , met een klein beetje logisch verstand, kan je zelf wel bedenken dat dat onmogelijk is.
            Vandaar mijn vb van het huis. Doe de ramen en deuren weg en je hebt een bunker : veilig maar zonder contact met de buitenwereld (internet)

          • Allez, we komen weeral overeen… 🙂
            En in feite nog nooit aan gedacht om het eens in de community van Linux te gooien als iets niet altijd koosjer blijkt te zijn. Thanxx…

          • Jij moet echt eens leren googelen(voor je iets zegt) heb ik de indruk.
            Of fora’s gebruiken om een probleem aan te kaarten of vraag te stellen

            Graag gedaan !!

          • Mijn grote fout is misschien dat ik het niet altijd correct formuleer wat ik bedoel…
            Het is ook geen simpele materie nietwaar?
            Maar we raken er toch telkens uit hé! :o)

          • Basically stick with this 3 and you will be safe. Always look for the maker/maintainer of the PPA. Always see if many users have used it and always see how updated the PPA is. Places like OMGUbuntu, Phoronix, Slashdot, The H, WebUp8 and even here in AskUbuntu are good sources to find many users and articles talking about and recommending some PPAs that they have tested.

    • “Maar de netwerkbeheerders treft evenveel schuld!”
      Ja, want het zijn zij die klikken op de file die het virus bevat?
      Ik lach trouwens de pers uit met hun “aanval” retoriek om die reden : het zijn de gebruikers die het meeste werk uitvoeren voor de ‘hackers’

      • De Win10 systemen zijn wel niet aangevallen Marc! Wordt daar niet geklikt op bijlagen?
        Als beheerder moet je de firma kunnen overtuigen om niet op kolen te blijven stoken, dat is voorbijgestreefd. Ik weet dat het een bom geld kost voor de firma, maar nu zullen ze wel geleerd zijn zeker? Wat zal het nu kosten???

        Een goeie beheerder zal toch ook wel wat back-ups staan hebben zeker? Ik ken mensen die elke dag een back-up maken van héél hun systeem. (Hopelijk zijn hun back-ups ook niet mee versleuteld want dan zijn ze even ver van huis…)

  2. “Omwille van de impact van de aanval, heeft Microsoft uitzonderlijk toch een beveiligingsupdate publiek beschikbaar gemaakt voor niet-ondersteunde versies van Windows, waaronder Windows XP, Windows 8 en Windows Server 2003.”
    Ik mis Vista in het rijtje.

  3. Ik lees overal dat de malware vooral geïnstalleerd wordt via e-mail. Maar op welke andere manier nog? Waarom is men bv zo bang voor de laptops op maandag?

    • Ik denk, ben het nog aan’t uitzoeken, omdat er dan veel idiote gebruikers zullen zijn die, met hun maandag-wattenhoofd, hun mailtjes gaan bekijken :
      “klik klik SHIIIIIIIIIIIIIIIT” en dan komen ze bij mij terecht “GEHEBTTOCHNIGEKLIKT ZEKERS ??!!

        • “Two things are infinite: the universe and human stupidity; and I’m not sure about the universe….” Idd ‘zo eenvoudig’.
          In principe geen probleem mits goede back-up policy maar je moest eens weten hoeveel er hun xl’s en doc’s ‘even’ op de desktop laten staan. Komt er nog bij dat ook repair tijd en dus geld kost.

          Ik surf ook liever het eerste kwartier met tas thee even op’t internet zenne.
          Ik zal maar beetje vroeger verschijnen morgen :S

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here