WannaCry ransomware: wat zijn de gevolgen van deze cyberaanval?

Sinds afgelopen vrijdag zijn wereldwijd allerlei bedrijven en organisaties getroffen door een cyberaanval met de WannaCry ransomware (WanaCrypt0r 2.0). Afgelopen weekend heeft de media dan ook veel aandacht geschonken aan deze ransomware-aanval. Ook waarschuwt Europol voor een nieuwe versie. De kans is dus aanzienlijk dat er opnieuw een grootschalige cyberaanval met de WannaCry ransomware gaat plaatsvinden.

Deze aangepaste variant van WannaCry bevat geen killswitch, hiermee kon de (verdere) verspreiding van de vorige versie namelijk grotendeels voorkomen worden. Maar WannaCry kan zich als een computerworm via een computernetwerk verspreiden en kan daardoor erg gemakkelijk kwetsbare systemen infecteren.

EternalBlue-exploit

De gebruikte techniek is afkomstig van een exploit die bij de NSA (National Security Agency) is gestolen. Het gaat hier om de EternalBlue-exploit die het SMB-protocol van Windows misbruikt. Op 14 april is deze exploit door cybercriminelen die op internet onder de naam (Shadow Brokers) actief zijn openbaar gemaakt. Dit is één van de oorzaken waardoor deze grote cyberaanval met de WannaCry ransomware  mogelijk was.

Windows versies die de security update van 14 Maart MS17-010 “Microsoft Windows SMB Server (4013389)” hebben geïnstalleerd zijn niet kwetsbaar. Dit toont dus maar weer haarfijn aan hoe belangrijk het up-to-date houden van Windows is. Maar ook dat de uitrol van security updates binnen bedrijven en organisaties vaak niet op orde is. Microsoft had immers op 14 maart al een security update beschikbaar voor het lek in het SMB-protocol van Windows. Deze cyberaanval had in theorie grotendeels voorkomen kunnen worden.

Wat is er allemaal bekend over de WannaCry ransomware?

WannaCry Ransomware

Hoe verspreidt de WannaCry ransomware zich?

De WannaCry ransomware kan zich via een beveiligingslek in het SMB-protocol van Windows verspreiden. Via de functie “Server Message Block (SMB)” kunnen binnen Windows bestanden uitgewisseld worden. Op deze manier is het dus ook mogelijk om schadelijke bestanden uit te wisselen. Op deze manier kan de ransomware zich dus eenvoudig binnen een computernetwerk verspreiden en systemen infecteren.

Zijn er Nederlandse bedrijven door WannaCry getroffen?

Volgens het NCSC (Nationaal Cyber Security Centrum) wat een onderdeel is van de overheid heeft echter laten weten dat er nog geen Nederlandse organisaties zijn getroffen. Ronald Prins van het beveiligingsbedrijf Fox IT heeft wel laten weten dat er een Nederlands taalpakket is aangetroffen in de samples van WannaCry.

Hoe kunt u deze ransomware-aanval voorkomen?

  1. Installeer de security update MS17-010 die Microsoft op 14 maart heeft uitgebracht.
  2. Blokkeer in een host based firewall de poorten 139, 445 & 3389.
  3. Schakel als beheerder van een netwerk het SMBv1 protocol uit.
  4. Zorg dat RDP- en SMB connecties via internet geblokkeerd worden.
  5. Zorg altijd dat u recente back-ups hebt van belangrijke gegevens.

Verder is het natuurlijk van belang om goede beveiligingssoftware te gebruiken. Maar nog belangrijker is het up-to-date houden van Windows. Wacht niet te lang met het installeren van essentiële security updates om kritische beveiligingslekken te dichten. Middels dergelijke technische maatregelen kunt u het risico op een ransomware-aanval voorkomen. Maar helaas blijven computergebruikers de zwakste schakel in de keten van computerbeveiliging, waardoor grootschalige cyberaanvallen handmatig geactiveerd worden.

Open daarom nooit onbekende en/of vreemde e-mailbijlagen zoals bijvoorbeeld Word-documenten. Een document kan een macro met een kwaadaardige code bevatten die systemen infecteren met malware. Of in het geval van de WannaCry ransomware een routine op basis van de EternalBlue-exploit bevat dat een beveiligingslek in Windows misbruikt om computers en netwerken te infecteren.

Welke versie van Windows zijn kwetsbaar?

In alle versies van Microsoft Windows behalve Windows 10 is het beveiligingslek van het SMB-protocol aanwezig. Microsoft heeft daarom besloten om ook voor niet meer ondersteunde versies (Windows XP, Windows Server 2003 en Windows 8) een security update uit te brengen. Deze patch is geschikt voor de volgende kwetsbaarheden CVE-2017-0143 t/m CVE-2017-0148.

Hoe groot is de cyberaanval en wat zijn de gevolgen?

Inmiddels is er bekend dat er in zeker 150 landen zo’n 200.000 slachtoffers zijn van deze cyberaanval. In Nederland is zover bekend alleen het parkeerbedrijf Q-Park getroffen. In andere landen zijn er ook ziekenhuizen en telecombedrijven getroffen. De financiële schade kan door dataverlies enorm groot zijn. Maar voor medische instellingen kan het ook een gevaar vormen met betrekking tot bijvoorbeeld operaties.

Deel deze pagina op social media:Share on facebook
Facebook
0
Share on twitter
Twitter
Share on google
Google