WannaCry — wat is het en is het nog steeds gevaarlijk?

Wat is de WannaCry ransomware-aanval?

Een van de beruchtste cyberaanvallen in de geschiedenis van de cybercriminaliteit, is waarschijnlijk de WannaCry-aanval uit 2017. Door deze aanval werden honderdduizenden computers in meer dan 150 landen getroffen. WannaCry is het programma waarmee de aanval uitgevoerd werd. Maar wat is WannaCry precies?

WannaCryis ransomware is een type malware dat in 2017 werd gebruikt om de WannaCry cyberaanvallen te initiëren. WannaCry verplaatst zich van het ene Windows-apparaat naar het andere en communiceert met een commando- en controlecentrum met behulp van het anonieme TOR-netwerk. De malware gedraagt zich als een worm, wat betekent dat het zich uit zichzelf via netwerken kan verspreiden en enorme aantallen systemen kan infecteren.

Het is zogenaamde ‘gijzelsoftware’ die hackers gebruiken om computers binnen te dringen en bestanden van gebruikers te versleutelen. Ze eisen vervolgens een betaling in bitcoins om de versleutelde gegevens weer vrij te geven. De hackers maakten gebruik van de EternalBlue-exploit, ontwikkeld door de NSA. Een exploit is een stukje code waarmee een kwetsbaarheid in software kan worden misbruikt.

De WannaCry-aanval begon op 17 mei 2017 en trof meer dan 300.000 computers in meer dan 150 landen. Hoewel de WannaCry-criminelen een relatief laag bedrag aan losgeld eisten ( rond de 300-600 dollar), wordt de totale schade van WannaCry in de miljoenen of zelfs miljarden dollars geschat.

WannaCry trof onder andere de Britse National Health Service (NHS) zwaar door duizenden apparaten te beschadigen. Als resultaat van de aanval moesten er bijna 20.000 afspraken worden geannuleerd, wat de NHS naar schatting ongeveer 92 miljoen Engelse pond kostte. De aanval was ook gericht tegen andere bekende bedrijven zoals Renault, FedEx en Deutsche Bahn. Tot de meest getroffen landen behoorden Rusland, Oekraïne, India en Taiwan. Trof WannaCry Nederland ook? Jazeker – hier werden onder andere de websites van het Landelijk Actie Komitee Scholieren (LAKS) en van Q Park parkeergarages gehackt.

In 2017 slaagde Marcus Hitchins, een Britse hacker, er in om de aanval te stoppen nadat hij de kill switch had ontdekt die voorkwam dat de geïnfecteerde apparaten de aanval verder konden verspreiden. WannaCry verwijderen en stoppen is dus mogelijk, maar vereist behoorlijk wat technische kennis.

Wie heeft WannaCry gemaakt?

Hoewel er geen officieel geïdentificeerde dader is, zijn de VS, Canada, Nieuw-Zeeland, Japan en enkele andere regeringen het erover eens dat Noord-Korea de aanstichter van de aanval is. De deskundigen uit deze landen baseerden hun conclusies op overeenkomsten in de code met de Lazarus Group, een beruchte Noord-Koreaanse cybercriminele organisatie, en Koreaanse tijdstempels in de metadata van de ransomware.

Hoe werkt WannaCry ransomware?

WannaCry versleutelt de gegevens op je computer en eist losgeld in ruil voor een decryptiesleutel. Slachtoffers krijgen een bericht op hun scherm te zien met instructies hoe ze het geld over kunnen maken. Als ze het losgeld niet betalen, verwijderen de criminelen hun gegevens.

Zoals we hierboven al noemden, maakt het WannaCry virus gebruik van de EternalBlue-exploit die door de NSA is ontwikkeld en door een groep van hackers, The ShadowBrokers, werd gelekt. EternalBlue is een stukje software of programmacode dat misbruik maakt van de implementatie van het Windows server message block (SMB) protocol dat communicatie tussen verschillende netwerkknooppunten organiseert. Hackers ontdekten dat ze dit protocol konden gebruiken om zelfgemaakte pakketten met willekeurige codes te injecteren. Hoewel Microsoft een patch heeft uitgebracht om de exploit aan te pakken, heeft de verspreiding van de WannaCry-malware toch op grote schaal plaatsgevonden, omdat veel organisaties de patch niet op tijd hadden toegepast.

Naast de EternalBlue-exploit voegden de makers DoublePulsar, zogenaamde ‘backdoor’ malware, aan de WannaCry ransomware toe. DoublePulsar wordt op getroffen computers in de kern van het systeem geïnstalleerd en geeft cybercriminelen zo een hoge mate van controle over het computersysteem. Via DoublePulsar kon er zo andere malware op het getroffen systeem geladen worden.

Wanneer WannaCry je systeem is binnengedrongen, controleert het eerst of het verbinding met de “kill switch” kan maken. De kill switch is in dit geval een niet-geregistreerd webdomein. Als de malware geen verbinding met het domein kan maken, wordt de infectie uitgevoerd en begint het met het versleutelen van de belangrijkste bestandsformaten zoals .doc, .mp3 en .mkvs. Ten slotte probeert de malware zichzelf via de EternalBlue-exploit verder te verspreiden naar willekeurige computers op het internet en in je netwerk.

Is WannaCry ransomware nog steeds een bedreiging?

Ondanks de beschikbare patches en informatie is WannaCry nog steeds een bedreiging. Omdat de malware zich enkel op ongepatchte systemen verspreid, is het duidelijk dat patches nog niet universeel door iedereen toegepast worden.

Hoe kan ik mijn apparaat tegen ransomware zoals WannaCry beschermen?

Door deze voorzorgsmaatregelen toe te passen, kun je je tegen ransomware beschermen:

• Werk je software voortdurend bij en implementeer de nieuwste patches. WannaCry had waarschijnlijk veel minder schade aangericht als gebruikers de relevante patches en updates op tijd hadden geïmplementeerd.
• Gebruik altijd hoogwaardige beveiligingssoftware om je systeem tegen malware te beschermen. Threat Protection van NordVPN is bijvoorbeeld een krachtige anti-malwaretool die schadelijke websites, advertenties en trackers blokkeert en de bestanden die je download op malware scant en verwijdert voordat ze je apparaat kunnen infecteren.
• Open geen verdachte links of bijlagen en klik niet op banners. Download ook nooit software van onbetrouwbare websites, omdat deze met malware geïnfecteerd kan zijn.
• Gebruik geen USB-sticks die je niet 100% vertrouwt.
• Maak een back-up van je gegevens, omdat dit een ransomware-aanval minder schadelijk maakt.
• Maak altijd gebruik van een VPN-app wanneer je met openbare wifi verbindt, zodat cybercriminelen je verkeer niet kunnen onderscheppen.