WannaCry-ransomware in 150 landen

Wie in de afgelopen dagen niet onder een steen heeft geleefd, is bekend met minstens een van deze aanduidingen: Wcry, WannaCry, WanaCry, WannaCrypt, WannaCrypt0r en Wana Decrypt0r. Daarbij gaat het om een ransomwarevariant die veel computersystemen over de hele wereld heeft geïnfecteerd en op die manier aanzienlijke schade heeft veroorzaakt, bijvoorbeeld door ziekenhuissystemen in het Verenigd Koninkrijk plat te leggen. Infecties met ransomware zijn niets nieuws, dus de vraag die zich in dit geval opdringt, is wat deze variant anders maakt dan andere soorten.

WannaCry bestaat uit twee componenten: een ransomwarecomponent en een worm. De eerste component bestaat al langer en werd bijvoorbeeld door beveiligingsbedrijf Trend Micro in april opgemerkt. Destijds was er nog niets bijzonders aan de malware. Dat veranderde toen de personen achter de kwaadaardige software er een nieuwe component aan toevoegden, waardoor de verspreiding van de ransomware sterk toenam. Normaal gesproken zijn alledaagse ransomwarevarianten in staat om netwerklocaties te besmetten, maar in het geval van WannaCry is er iets anders aan de hand.

Verspreiding via Windows-kwetsbaarheid

De wormcomponent van WannaCry maakt gebruik van een kwetsbaarheid in Windows-systemen, die wordt aangeduid als MS17-010. Een exploit voor de kwetsbaarheid werd onlangs vrijgegeven in een dump door de Shadowbrokers, een persoon of groepering die al langer NSA-hacktools publiceert. De exploit draagt de naam Eternalblue en maakt gebruik van een kwetsbaarheid in het SMB-protocol, waardoor het mogelijk is voor een aanvaller om op afstand code uit te voeren op een kwetsbaar systeem. De exploit is hoogstwaarschijnlijk geschreven door de NSA en kwam aan het licht door de publicatie. Daardoor was de code beschikbaar voor iedereen, dus ook voor ransomwaremakers.

"Er is nog geen mail gevonden waardoor deze malware wordt verspreid"

Op het moment dat infectie plaatsvindt, versleutelt de ransomware belangrijke bestanden op de computer en zoekt de wormcomponent naar kwetsbare systemen om de infectie verder te verspreiden. Het SMB-protocol is daar geschikt voor, aangezien het tot doel heeft bestanden en diensten via het netwerk toegankelijk te maken. In kantooromgevingen is de kans op het gebruik van deze dienst daarom groot.

Maarten van Dantzig, onderzoeker bij het Nederlandse beveiligingsbedrijf Fox-IT, legt aan Tweakers uit dat de SMB-exploit hoogstwaarschijnlijk de manier was waarop de ransomware in eerste instantie werd verspreid. Daarbij richtte de kwaadaardige software zich op kwetsbare systemen die via internet te benaderen waren. Op de vraag of verspreiding ook plaatsvindt via phishing-e-mails, zegt Van Dantzig: "Er is nog geen mail gevonden waardoor deze malware wordt verspreid." Hij legt verder uit dat de worm bij elke infectie willekeurige ip-adressen op internet scant om meer doelwitten te vinden. Deze constatering komt ook naar voren in een analyse door beveiligingsbedrijf McAfee, dat schrijft dat de malware zich op die manier ook via internet kan verspreiden. Kaspersky gaat ervan uit dat de verspreiding van WannaCry op donderdag is begonnen, gezien het aantal probes naar poort 445.

Patches

Nadat de Shadowbrokers de NSA-tools hadden gepubliceerd, bleek dat Microsoft de meeste lekken die aan de basis van de verschillende exploits lagen, al in maart had gepatcht. Het is tot nu toe niet duidelijk wie de lekken aan het Redmondse bedrijf heeft gemeld. In vervolg op de gebeurtenissen rondom WannaCry heeft Microsoft bovendien besloten om ook patches uit te brengen voor besturingssystemen die officieel niet meer ondersteund worden, zoals Windows XP en Windows Server 2003. Voor gebruikers die een kwetsbaar systeem hebben en die niet in staat zijn om de patch uit te voeren, is het ook mogelijk om de SMB-dienst uit te zetten. Windows 10-gebruikers zijn niet kwetsbaar.

Dat toch een groot aantal systemen geïnfecteerd is geraakt, wijst erop dat niet alle organisaties een werkend updatebeleid hebben, zo schampert onder meer burgerrechtenorganisatie Bits of Freedom. Dat bepaalde ict-omgevingen complexer zijn dan andere, betekent volgens de organisatie niet dat belangrijke beveiligingsupdates genegeerd kunnen worden.

De ransomware zelf

Kijken we naar de ransomware zelf, dan gaat het om een variant die verschillende bestandstypes versleutelt en voorziet van de extensie 'wcry'. Vervolgens deelt een pop-up mee dat decryptie alleen mogelijk is als slachtoffers het equivalent van 300 dollar aan bitcoins naar een bepaald adres overmaken. In totaal maakt de malware gebruik van drie bitcoinadressen, in tegenstelling tot varianten die een apart adres per infectie aanmaken. Tot nu toe is ongeveer 29 bitcoin naar de drie adressen overgemaakt, wat neerkomt op een totaalbedrag van ongeveer 46.500 euro. Andere bronnen gaan uit van vijf verschillende bitcoinadressen. Website Quartz heeft een Twitter-bot in het leven geroepen die live betalingen volgt. Slachtoffers hebben drie dagen om het gevraagde bedrag over te maken. De pop-up claimt dat het losgeld daarna wordt verdubbeld. Symantec becijferde onlangs dat de gemiddelde prijs voor decryptie in de afgelopen jaren sterk is gestegen: van ongeveer 300 naar bijna 700 dollar.

Slachtoffers wordt aangeraden om het losgeld niet te betalen. Daar zijn verschillende redenen voor. Zo houdt een betaling het verdienmodel van internetcriminelen in stand, een algemeen argument dat vaker wordt gehanteerd in de discussie rond ransomware. In het geval van WannaCry is er een aanvullende reden. Zo wijst Hacker House-onderzoeker Matthew Hickey erop dat decryptieverzoeken bij deze variant handmatig goedgekeurd moeten worden en dat het daarom onwaarschijnlijk is dat dit voor alle verzoeken gebeurt. Onderzoeker Mikko Hypponen claimt dat enkele slachtoffers na betaling hun bestanden hebben teruggekregen. In de tussentijd verschijnen er verschillende diensten van derden die decryptie voor WannaCry aanbieden, deze moeten met de nodige achterdocht worden behandeld. Een tool op GitHub maakt het mogelijk om versleutelde bestanden terug te halen, maar alleen als het slachtoffer over de RSA-sleutel beschikt.

Er is nog geen informatie naar buiten gekomen over de personen achter de malware. Net als bij andere ransomwarevarianten is het moeilijk om een verantwoordelijke aan te wijzen. Dat komt mede doordat de malware via Tor communiceert en de betalingen via bitcoin verlopen.

Het opmerkelijke aan de huidige variant van de malware is dat er een url in de code aanwezig is

Het opmerkelijke aan de huidige variant van de malware is dat er een url in de code aanwezig is, die werd ontdekt door beveiligingsonderzoeker MalwareTech. Deze url is aangeduid als 'killswitch'. De onderzoeker opperde zelf de mogelijkheid dat het een zwakke poging is om analyse in een sandboxed omgeving te voorkomen, omdat het daarin kan voorkomen dat een ongeregistreerd domein als actief wordt weergegeven. Zodra de malware verbinding maakt met het domein, gaat deze niet over tot het versleutelen van bestanden. Doordat het domein nu geregistreerd is, is MalwareTech wellicht een groot aantal nieuwe infecties tegengegaan. Dit gebeurde zonder dat hij van tevoren wist welke gevolgen het registreren van het domein zou hebben. Een Twitter-account dat activiteit van het Mirai-botnet bijhoudt, toonde zaterdag dat het botnet werd ingezet om een ddos-aanval op de url in kwestie uit te voeren, al is onduidelijk wat het effect daarvan was.

Gevolgen en varianten

De gevolgen van de verspreiding van WannaCry waren vrijdag en gedurende het weekend te merken. Er werd gevreesd dat het begin van de werkweek op maandag een groot aantal nieuwe infecties met zich mee zou brengen, maar dat lijkt mee te vallen. De tracker van MalwareTech toont dat er iets minder dan 200.000 systemen geïnfecteerd zijn.

Internationaal werden verschillende organisaties door WannaCry getroffen, waaronder ziekenhuizen, de Deutsche Bahn, FedEx, de Spaanse provider Telefónica en het Russische ministerie van Binnenlandse Zaken. In Nederland is tot nu toe alleen parkeerbedrijf Q-park door de ransomware getroffen. Volgens het NCSC zijn er geen meldingen van infecties van overheidssystemen of systemen van bedrijven in vitale sectoren. De organisatie waarschuwt wel dat de kans bestaat dat er in de komende tijd nieuwe varianten van de malware verschijnen. Deze zijn dan waarschijnlijk niet voorzien van een killswitch. In het weekend en maandag werd al melding gemaakt van dergelijke varianten, maar het moet nog blijken of deze dezelfde gevolgen hebben als de huidige WannaCry-malware.

Microsoft-voorzitter Brad Smith publiceerde maandag een bericht waarin hij namens het bedrijf stelde dat dat het WannaCry-incident aantoont dat het opsparen van kwetsbaarheden door overheden gevaren met zich meebrengt. Hij spreekt van een terugkerend patroon waarin de kwetsbaarheden van overheden uiteindelijk uitlekken, met de nodige gevolgen. In Nederland speelde de discussie rond het gebruik en het zoeken van kwetsbaarheden door de overheid onder meer bij de wetsvoorstellen voor de 'hackwet' en de 'aftapwet', die allebei nog door de Eerste Kamer goedgekeurd moeten worden.