De aanval met WannaCry-ransomware in acht vragen

Erik Remmelzwaal, CEO van DearBytes

Afgelopen weekend hield WannaCry flink huis. Naar schatting meer dan 230.000 computers in 150 landen zijn inmiddels besmet met deze vorm van ransomware. In Nederland lijkt de schade tot nu toe mee te vallen, maar deskundigen houden hun hart vast voor de komende dagen. Maar wat is er nu precies gebeurd? 

In landen zoals Engeland, Spanje, maar bijvoorbeeld ook Duitsland waar het vliegveld van Frankfurt zelfs op narrowcastschermen ransomwaremeldingen toonden aan reizigers – heeft WannaCry diepe sporen nagelaten. Deskundigen houden hun hart vast voor de komende dagen. Hoe kon een vorm van malware plotsklaps zo groot worden? Erik Remmelzwaal, CEO van securityspecialist DearBytes, heeft acht antwoorden voor CloudWorks opgesteld voor evenzoveel vragen. 

Vraag 1. Van welke ‘vulnerability’ maakt WannaCry gebruik?

Het gaat om MS17-010. Het handelt hierbij om een probleem in Microsoft Windows SMB Server versie 1.0 ofwel SMBv1. Deze technologie wordt al vele jaren binnen Windows gebruikt om bestanden en printers binnen een lokaal netwerk te delen. En daardoor is deze malware ook zo gevaarlijk: het maakt namelijk gebruik van code die nu juist bedoeld is om het gemakkelijk delen van files of printers te bevorderen. Met andere woorden: is binnen een lokaal netwerk eenmaal een systeem besmet, dan kan het virus zich zeer snel verspreiden.

Vraag 2. Maar dit probleem was toch al door Microsoft opgelost?

Dat klopt. Microsoft heeft in maart een patch vrijgegeven voor MS17-010. Maar dat betekent helaas niet dat daarmee ook alle Windows-systemen waarin zich deze vulnerability voordoet van deze patch zijn voorzien. Daar zit namelijk een groot probleem.

Ten eerste bundelt Microsoft patches voor Windows en publiceert deze eenmaal per maand (Patch Tuesday). Dit betekent dat de patch wellicht eerst nog even ‘op de plank’ heeft gelegen bij Microsoft voordat deze aan IT-afdelingen beschikbaar is gesteld.

Maar er speelt nog een tweede punt: patch-moeheid. De systeem- en netwerkbeheerders van middelgrote en grotere organisaties worden al vele jaren overspoeld met patches van alle mogelijke software. Schattingen gaan uit van zo’n 5.000 (!) aanpassingen per device per jaar. De enorme diversiteit in systeemomgevingen binnen de Windows-wereld betekent dat er een flinke kans is dat een patch onverwachte en veelal negatieve effecten heeft op de systeemomgeving.

Daarom kiest vrijwel iedere IT-afdeling ervoor om patches eerst te testen in de eigen IT-omgeving voordat deze wijzigingen daadwerkelijk in productiesystemen worden doorgevoerd. Het is namelijk niet voor het eerst dat een patch die tot doel heeft een security- of ander technisch probleem op te lossen onbedoeld crashes van andere software veroorzaakt.

Beide problemen zorgen ervoor dat veel Windows-systemen nog altijd te kampen hadden – en hebben – met dit SMB-probleem.

En dan speelt uiteraard nog het end-of-life-probleem. In Engeland werd de National Health Service (NHS) zwaar getroffen door WannaCry. Wat bleek: men gebruikt daar nog veel oudere Windows-software (waaronder Windows Server 2003 en Windows XP). Deze operating system-versies worden door Microsoft niet meer ondersteund, wat betekent dat er geen security-updates meer voor uitkomen. Met alle gevolgen van dien. Overigens heeft Microsoft dit weekend bij wijze van uitzondering toch patches voor deze omgevingen uitgebracht.

Vraag 3. Wie heeft het SMB-probleem in Windows eigenlijk ontdekt?

Dat is een verhaal op zich. Er wordt namelijk flink gespeculeerd op dit punt. Een veel gehoorde theorie: het was de NSA ofwel de National Security Agency. Deze organisatie staat er om bekend dat het systematisch veel gebruikte software – zowel OS’en als middleware als applicaties – onderzoekt op technische fouten die gebruikt kunnen worden om toegang te krijgen tot systemen of netwerken.

Het verhaal wil nu dat de NSA ook het probleem dat nu bekend staat als MS17-010 heeft ontdekt, maar deze informatie niet heeft gedeeld met – bijvoorbeeld – Microsoft. Bovendien is de NSA zelf op zijn beurt weer gehackt door een groepering die zich The Shadow Brokers noemt. Deze club heeft de informatie op internet gezet en daar zou de – zeg maar – inspiratie voor WannaCry vandaan zijn gekomen.

Als WannaCry inderdaad op deze manier is ontstaan, dan zal dit feit ongetwijfeld een impuls geven aan de discussie over het hackrecht van de politie in de nieuwe WIV en de andere discussie die enige tijd gelden tussen Apple en de FBI werd gevoerd over de vraag of softwarebedrijven overheden een zogeheten ‘entrypoint’ in hun software moeten bieden.

Vraag 4. Wat is de situatie nu?

Meer dan 230.000 computersystemen in 150 landen zijn inmiddels besmet. Bestanden op deze systemen zijn versleuteld en de enige manier om weer toegang tot deze gegevens te krijgen is het betalen van 300 dollar per geval, te voldoen in bitcoins. Punt is alleen dat er – naar verluidt – pas voor zo’n 36.000 dollar aan losgeld is betaald. Niet echt een indrukwekkend bedrag dus.

De vraag is of het bij dit bedrag blijft. WannaCry werd afgelopen vrijdag pas een serieus probleem. Veel laptops die door medewerkers van organisaties mee naar huis zijn genomen, zijn nog niet in contact geweest met corporate netwerken. Dat gebeurt pas op maandag. Worden deze systemen dan alsnog besmet? Daarom wordt komende week een soort tweede fase verwacht met veel nieuwe besmettingen.

Het is overigens de vraag of dit wel helemaal klopt. WannaCry is namelijk niet zozeer afgelopen vrijdag gelanceerd, maar werd al in februari ontdekt. Om onduidelijke redenen is het zich pas afgelopen vrijdag snel gaan verspreiden.

Daarnaast speelt het verhaal van security-onderzoekers die bijna per ongeluk een kill switch lijken te hebben geactiveerd. Het gaat hierbij om de ontdekking in de malwarecode van een webadres (het gaat om dit adres: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) dat niet geregistreerd bleek en dat dus ook niet bereikbaar was. Waar de schrijvers van de malware kennelijk vanuit gingen, was dat als er wél data terugkomen van dit adres het virus zich kennelijk in een sandbox bevindt en dus door onderzoekers bekeken werd. Om verdere analyse onmogelijk te maken, sluit het virus op het moment dat het data van dit webadres zag binnenkomen zichzelf af.

Een researcher van Malwaretech claimt deze domeinnaam gecontroleerd te hebben en zag dat deze nog niet was geregistreerd. Toen hij dit vervolgens wél deed, ontving het virus data van dit adres en sloot zichzelf vervolgens af. Daarmee leek verdere verspreiding van het virus te worden tegengegaan. Of dit komende week ook zo zal blijken te zijn, valt echter nog te bezien. Niemand weet bijvoorbeeld of dit webadres het enige adres is dat de schrijvers van het virus in de code hebben opgenomen. Of dat er meerdere varianten van het virus met verschillende domeinen in omloop zijn.

Daarnaast zijn er berichten over een nieuwe versie van de WannaCry-ransomware zonder killswitch. De aanvallers kunnen hierdoor achter hun ransomwarecampagne opnieuw allerlei systemen versleutelen. Onderzoekers zijn het hierover nog niet helemaal eens.

Interessant is ook de rol van de antivirusbedrijven. Nog geen 30 procent van de av-software wist WannaCry tegen te houden. Dat lijkt wellicht slecht, maar dat ligt genuanceerder vanwege de volgende drie redenen:

  1. Het bedrijfsleven maakt nog veelvuldig gebruik van verouderde antivirus. Hierbij worden virussen – in tegenstelling tot de moderne endpoint protection malware – niet gescand op het gedrag. Het is daardoor lastig om nog nooit eerder vertoonde malware te stoppen.
  2. Antivirus mag nooit de enige verdediging zijn. Het moet altijd onderdeel zijn van een hele reeks van securitymaatregelen.
  3. Een aantal antiviruspakketten lijken het eerder genoemde webadres als ‘risicovol’ te beschouwen. Met andere woorden: wat kan werken als een kill switch om verdere verspreiding van dit virus tegen te gaan, lijkt in sommige gevallen te worden bemoeilijkt door reguliere av-software.

Vraag 5: Wij zijn geïnfecteerd – wat nu?

Hoe weet een organisatie eigenlijk dat er van infectie sprake is? Helaas wordt dat heel snel duidelijk. Het virus versleutelt namelijk alle bestanden die het tegenkomt. Researchers hebben in testomgevingen zelfs vastgesteld dat als aan een eenmaal besmet systeem waarvan alle bestanden versleuteld zijn een nieuwe file wordt toegevoegd, ook dit bestand onmiddellijk wordt encrypt. Wie zo’n besmet bestand wil openen, krijgt een scherm te zien dat de file is versleuteld. Met een uitleg dat tegen betaling van 300 dollar een sleutel kan worden verkregen om de bestanden weer toegankelijk te maken.

Vraag 6: Wat nu te doen? Betalen? Of toch niet?

Natuurlijk is het best als niemand de ransom betaalt. Dan houdt het snel op met het verdienmodel van dit soort praktijken. Helaas voelen veel mensen zich desondanks genoodzaakt te betalen, want er wordt grof geld verdiend aan ransomware.

Stel: u betaalt. Dan zult u bitcoins moeten aanschaffen en deze vervolgens aan de cybercriminelen moeten overdragen. Als alles gaat zoals zij beloven, ontvangt u hierna instructies hoe de bestanden weer toegankelijk kunnen worden gemaakt. Probleem is alleen: niemand die u dit garandeert. Er zijn al eerdere ransomware-gevallen bekend waar – ook na betaling van het losgeld – de bedrijfsgegevens toch versleuteld bleven en dus onbruikbaar bleven.

Er zijn bedrijven die om wat voor reden dan ook niet wensen te betalen. Zij gooien simpelweg de besmette bestanden weg en zetten een back-up terug. Dat kan uiteraard, maar de vraag is of u dan niet alsnog data kwijt bent. Want hoe oud is uw meest recente back-up eigenlijk? En hoe zeker bent u van het feit dat die back-up technisch in orde is en de bedrijfsgegevens dus op een fatsoenlijke manier kunnen worden teruggezet? Veel bedrijven komen op dit soort momenten tot de ontdekking dat de back-upprocedures op papier wellicht prima in orde zijn, maar dat er door – bijvoorbeeld – een technisch probleem eigenlijk nooit een goed functionerende back-up is gemaakt.

Weggooien van de versleutelde bestanden en vervangen door de laatste back-up is dus wellicht geen goed idee. Beter is het om deze geïnfecteerde bestanden te kopiëren naar een offline opslagsysteem. En dan is het wachten tot zogeheten decryptor-software beschikbaar komt. Hiermee kunt u de versleutelde bestanden weer toegankelijk maken zonder dat losgeld is betaald. Het kan echter weken of maanden duren voordat deze decryptie-procedure ontwikkeld is.

Het is een duivels dilemma. En bovendien de ultieme test of de back-upprocedures van de organisatie zijn aangepast aan de eisen van deze tijd. Alleen in de avonduren een back-up ‘draaien’, is allang niet meer voldoende. Data dienen minimaal op 3 verschillende locaties beschikbaar te zijn en dan ook nog eens in volstrekt van elkaar gescheiden netwerkomgevingen. Zodat een virus niet de kans krijgt om uw productiedata én uw back-updata te versleutelen.

Vraag 7. Hoe voorkom ik dat ik komende dagen alsnog door WannaCry besmet raak? 

Dat is een lastige vraag. Het betekent namelijk dat u inzicht moet hebben in de vraag welke van de Windows-systemen die binnen de organisatie in gebruik zijn gevoelig zijn voor MS17-010. Volgens Microsoft is voor al deze systemen een patch beschikbaar. Zelfs voor een aantal Windows-versies die inmiddels formeel niet meer ondersteund worden, maar nog wel bij tal van organisaties in gebruik zijn.

Het is cruciaal dat al deze Windows-systemen per direct gepatcht worden.

Dat levert echter mogelijk problemen op. Weten alle medewerkers die na het weekend weer aan het werk gaan dat hun computers gecheckt moeten worden? En dat contact maken met het corporate netwerk zeer riskant kan zijn?

Hoe snel is de IT-afdeling van de organisatie in staat om voor alle gebruikers maar ook voor alle Windows-servers een patch af te dwingen? Want dat is in feite de enige manier om te zorgen dat ieder voor MS17-010 gevoelig computersysteem per direct wordt ge-upgrade. Met andere woorden: zodra een systeem contact legt met het bedrijfsnetwerk dient als eerste een check op deze vulnerability te worden gedaan met een eventuele upgrade die per direct moet worden uitgevoerd. Waarbij het uiteraard nog maar de vraag is wat de impact van deze patch is op het functioneren van andere software die op dit systeem draait. De kans bestaat dat hierdoor een of meer andere softwareprogramma’s crashen en een additionele upgrade nodig is, die zomaar kan uitmonden in kostbaar en tijdrovend maatwerk per gebruiker of systeem.

Zoals vaker in dit soort situatie inspireert deze ransomware-uitbraak mensen tot woordgrappen.  Zo staat Bring Your Own Device ofwel BYOD inmiddels al bekend als: Bring Your Own Disaster.

Vraag 8: Hoe kan ik op een meer structurele wijze dit soort problemen voorkomen? 

Een diepe slotgracht graven rond uw organisatie is niet voldoende. Er is een hele reeks van beveiligingsmaatregelen nodig. Het is te gemakkelijk om de schuld van een WannaCry-infectie te geven aan – bijvoorbeeld – het antiviruspakket dat deze malware niet tegenhield. Want eerder in de keten had bijvoorbeeld al gepatcht moeten worden.

Een paar tips:

  • Gebruik beperkte accounts voor dagelijks werk
  • Schakel accounts uit die niet meer worden gebruikt en reset hiervan de passwords
  • Gebruik een account met admin-rechten nooit op het internet
  • Verwijder zoveel mogelijk extensies uit de browser
  • Beperk privégebruik van internet voor medewerkers
  • Patch uw systemen en applicaties
  • Gebruik additionele sandbox of behavior analytics-achtige tooling om onbekende bestanden die het netwerk binnenkomen te analyseren
  • Doe aan netwerksegmentering
  • Geef uw medewerkers voorlichting over beveiliging
  • Maak continu backups van uw data en test restore-functionaliteiten met regelmaat
  • En misschien het belangrijkste: monitor uw netwerk op signalen van infecties

Erik Remmelzwaal is CEO van DearBytes

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *