De WannaCry Ransomware Microsoft aanval

Zaterdag 13 mei 7:30.

Menig IT Manager zal dit weekend slecht slapen zich zorgen makend of zijn IT infrastructuur besmet is met ransomware, gijzelsoftware die je systemen plat legt en alleen na betaling van een bedrag in bitcoins het weer doet, ordinaire chantage dus. De software genaamd ‘WannaCry 2.0’ besmet je PC door alles op je systeem te versleutelen en alleen als je betaald krijg je de sleutel om dit weer ongedaan te maken. Gewoon crimineel zeker omdat niet alleen bedrijven maar ook bijvoorbeeld ziekenhuizen hiervan het slachtoffer zijn..

Dat dit een groot probleem blijkt uit berichten dat al meer dan 74 landen zijn getroffen door een aanval en de koers van de bitcoin, waarmee deze criminelen willen dat er betaald wordt, plots flink aan het stijgen is. Bovenstaand plaatje toont de enorme waardestijging in US dollars status 12 mei op de dag dat het nieuws van de hackaanval naar buiten kwam.

En weer blijkt:

  • dat het Internet destijds niet ontworpen is vanuit een beveiligingsperspectief maar als open systeem waarmee iedereen met iedereen kan communiceren;
  • software bedrijven zoals Microsoft, waar het nu blijkbaar om gaat, al jaren producten voor veel geld en met een hoge marge op de markt zetten waarbij ze aansprakelijkheid voor dit soort aanvallen in hun leveringsvoorwaarden uitsluiten en er na al die jaren van nieuwe releases en productinnovaties niet in staat zijn dit soort uitbraken te voorkomen;
  • het business model van dit soort IT bedrijven gebaseerd is op het steeds in de markt zetten van nieuwe versies van hun software en oude versie na enige tijd niet meer te supporten hun klanten dwingend steeds weer te blijven investeren in hardware en software zonder dat ze daar toegevoegde waarde voor terug krijgen;
  • criminelen met de bitcoin een mooi instrument hebben om hun illegale praktijken uit te voeren en via de Bitcoin geld naar de bovenwereld kunnen doorsluizen;
  • versleutelings technieken (Encryptie) in handen van criminelen het nieuwe inbrekers gereedschap zijn;
  • gebruikers nog steeds email openen van onbekende afzenders waardoor besmettingen met dit soort virussen plaats vinden;
  • IT-managers machteloos zijn als het gaat om beveiliging tegen dit soort aanvallen;
  • we maatschappelijk kwetsbaar zijn omdat IT systemen tegenwoordige het primaire process in bedrijven ondersteunen en als dat weg valt het je faillissement kan opleveren.

Er gaan allerlei geruchten over wie er achter deze aanval zit (meeste aanvallen komen uit de Russen, de NSA was de eerste die deze software vorig jaar gebruikte…), waarschijnlijk zullen we dit nooit weten omdat veel van wat hier gebeurd zich in het verborgene afspeelt. Bedrijven geven niet graag toe dat ze het niet goed voor elkaar hebben en zullen waarschijnlijk betalen om van dit probleem af te zijn, we zullen het nooit weten. Ondertussen is wel aangetoond dat we hier iets tegen moeten doen en de criminelen moeten identificeren die hier achter zitten en aanpakken. Als dit voor criminelen een succesvol business model is brengt dit anderen weer op het idee dit te kopiëren.

Overigens blijkt dat alleen computers vatbaar zijn voor WannaCry die met verouderde software van Microsoft werken waarin een beveiligingslek zit. Microsoft heeft dit probleem wel opgelost voor haar meest recente software maar niet in de oude versies van hun software waardoor je je gebruikers dwingt steeds de laatste versie van hun software te gebruiken. Hiermee dwingen ze hun klanten steeds te investeren in hardware en software omdat die nieuwe software op oude PC’s niet goed performed en software niet afkomstig van Microsoft zelf aangepast moet worden aan de nieuwe features van Microsoft, zo blijft de winstmachine natuurlijk lekker draaien.

Als ik IT manager was van een bedrijf of instelling die met Microsoft werkt zou ik direct op de fiets springen, mijn medewerkers optrommelen en een plan maken voordat maandag iedereen weer het bedrijfsnetwerk opgaat, je weet maar nooit…

Update zaterdag 13 mei 10:00.

Het blijkt dat er een switch in de ransomware software zit waardoor die uitgeschakeld kan worden, alleen al geïnfecteerde netwerken hebben dus nog een probleem. Ben nu benieuwd wat de koers van de bitcoin gaat doen..

Update zaterdag 13 mei 18:30.

Volgens EenVandaag valt de opbrengst voor de criminelen aan bitcoins behoorlijk mee, namelijk zo’n 20.000 euro tot nu toe. Wel weinig opbrengst voor zo’n grote gecoördineerde actie waar meerdere mensen aan meegewerkt moeten hebben, dit lijkt me geen eenmansklus en je moet de buit natuurlijk ook nog verdelen. Even schoot het door me heen dat wellicht niet de klant maar Microsoft de target zou kunnen zijn van deze Ransomware software en dat daar ook een claim is gelegd, dat zou ook de switch kunnen verklaren die in een keer de ransomware uitschakelt en vreemd dat Microsoft die zelf niet gevonden heeft (de check op toegang tot een externe site). Als je gepakt wordt staat je waarschijnlijk een behoorlijk sanctie te wachten en als daar zo weinig opbrengst tegenover staat waarom doe je het dan? Ondertussen is het duidelijk dat er behoorlijk veel schade is aangericht: ziekenhuizen in de UK, scholen en universiteiten in Azië die plat liggen en bedrijven als Telefonica, Renault, Deutsche Bahn en Qpark die vanwege uitvallende IT niet operationeel kunnen zijn etc., Schattingen daarover heb ik nog niet gehoord. Zoals zo vaak bij criminaliteit wordt bij een inbraak meestal meer schade aangericht dan de buit opbrengt voor de criminelen…

Update Zondag 14 mei 17:00

De aanval blijkt nog niet over te zijn, WannaCry heeft opnieuw toegeslagen maar dan zonder de eerder vermelde switch om de software uit te zetten. In totaal blijkt het nu om 200.000 computers te gaan in 150 landen. Europol waarschuwt voor een grote nieuwe aanval morgen wanneer de bedrijven en instellingen die in het weekend dicht waren weer opstarten en eerder geïnfecteerde computers WannaCry weer gaan verspreiden.

Op de site van Microsoft wordt een bericht van 

As cybercriminals become more sophisticated, there is simply no way for customers to protect themselves against threats unless they update their systems. Otherwise they’re literally fighting the problems of the present with tools from the past. This attack is a powerful reminder that information technology basics like keeping computers current and patched are a high responsibility for everyone, and it’s something every top executive should support.

Update Maandag 15 mei 13:00

Microsoft is kwaad omdat de Amerikaanse overheid (de NSA) al langer van het lek in haar eigen software wist, dat niet met hen gedeeld heeft en zelfs gebruik heeft gemaakt van het lek om verdachten te spioneren. Ze zouden zich ook kunnen afvragen waarom ze zelf destijds dit lek niet hebben gevinden bij het testen van hun eigen software en dit weekend een 22 jarige wel in staat was de switch in de ransomsoftware te vinden en niet al die programmeurs die voor de Microsoft organisatie werken. Enige zelfreflectie is hier denk ik wel op zijn plaats lijkt me.

Meer info over de Bitcoin kan je vinden op mijn blog hierover: http://www.gerardgeerlings.nl/blockchain/

Overigens heeft Microsoft ondertussen ook patches gemaakt voor de oudere versies van het Windows besturingsysteem. Allemaal installeren dus!

Update Woensdag 28 juni 2017 13:00

We zijn toch echt ruim 6 weken verder sinds de vorige WannaCry Ransomware Microsoft aanval en vandaag is er een nieuwe variant ransomware genaamd Petya en worden er grote problemen gemeld bij APM, TNT en Maersk. Eveneens ligt onze nationale politie plat (ze kunnen zelfs niet mailen) hoewel daar ontkend wordt dat het om Ransomware gaat. Blijkbaar heeft de eerste golf  van WannaCry en de – niet structurele – oplossing van een paar weken geleden niet tot gevolg gehad dat iedereen als een haas naar de laatste versie van het Microsoft operating systeem is overgestapt, Petya maakt gebruik van hetzelfde lek als Wannacry destijds. Lag echter de badruk bij Wannacry op het binnenhalen van een buit, deze keer lijkt Petya meer gericht op het zo snel mogelijk verspreiden en het veroorzaken van maximale schade. Je zou je toch moeten schamen als je als IT’er verantwoordelijk bent voor de beveiliging en je hebt je nu nog niet tegen dit soort Ransomware ingedekt…

Print Friendly, PDF & Email
Print

Leave a Reply