WannaCry: hoe staat het er nu mee? Dreigen er nog meer infecties te komen? Wie treft schuld?

We zijn nu drie dagen na de grote uitbraak van de WannaCry-ransomware. Vrijdag werd de hele wereld opgeschrikt door een massale cyberaanval die minstens 200.000 slachtoffers in 150 landen maakte. Ziekenhuizen en banken konden niet meer bij hun computerbestanden, zelfs parkeergarages gingen dicht in landen als Nederland omdat de automaten om te betalen besmet waren. Hoe staat het er nu mee? Dreigen er nog meer infecties te komen? Wie treft schuld? 

WannaCry 2.0 is een schadelijk virus dat een hele computer onbruikbaar kan maken. De eigenaar kan dan niet langer aan al z'n bestanden en foto's. De gebruiker moet vervolgens een bedrag in bitcoins ter waarde van ongeveer 275 euro of 300 dollar betalen, losgeld voor de hackers. Pas dan kan opnieuw toegang tot de bestanden worden verkregen. De gijzelsoftware verspreidt zich via de netwerken waarop computers zijn aangesloten.

Laten we met de laatste vraag beginnen: wie treft schuld? Wel, de hackers, degenen die het virus de wereld instuurden. Wie dat zijn weten we (nog) niet. Maar, de cyberaanval is toch een beetje anders omdat die hackers dat hebben kunnen doen omdat een overheidsinstelling, in dit geval de NSA, doelbewust het veiligheidslek dat ze daarvoor gebruikten geheim hield.

De National Security Agency (NSA) is gespecialiseerd in het vergaren, afluisteren en analyseren van elektronische informatie uit communicatie via telefonie, internet en het ontcijferen via cryptoanalyse. De NSA beschikt over cryptoanalisten en supercomputers, waarmee versleutelde berichten van vreemde of vijandige mogendheden kunnen worden gekraakt. De NSA is met zo'n 38.000 personeelsleden de grootste Amerikaanse geheime dienst en valt onder verantwoordelijkheid van het Ministerie van Defensie.

Zwarte markt

Vorige maand bleek dat die NSA beveiligingsproblemen in software gebruikt om onder meer smartphones, pc’s en slimme televisies om te vormen tot afluisterapparaten. Wikileaks zette duizenden documenten online die volgens de klokkenluiders het arsenaal aan hackingtools van de de dienst bevatte.

In de documenten viel te zien hoe de NSA (trouwens ook de CIA) gaten in de beveiliging van de software gebruikt in iPhones, maar ook apparaten die draaien op Android en Microsoft Windows en zelfs Samsung smartTVs om spyware, malware en software te installeren om “mee te kunnen kijken”.

Toen al werd gewaarschuwd dat de verzameling van malware, virussen en hacksoftware circuleerde onder voormalige overheidshackers en opdrachtnemers. En dat het een kwestie van tijd zou zijn voor de toolbox op de zwarte markt zou belanden, als het al niet gebeurd was.

En de Wannacry-ransomware die sinds vrijdag de ict-wereld in zijn greep houdt, maakt inderdaad gebruik van een lek dat door de Amerikaanse geheime dienst NSA is ontdekt in Windows, maar dat die NSA vertikte te melden aan Microsoft. Dat bevestigt Microsoft nadat veel beveiligingsonderzoekers hadden die conclusie al hadden getrokken.

Doordat de geheime dienst het stilhield, bleven echter ook computers van onschuldige burgers en organisaties kwetsbaar voor aanvallen. Hoewel het probleem door Microsoft inmiddels is gedicht, zijn bedrijven en consumenten die hun computer niet hebben bijgewerkt nog steeds kwetsbaar.

Wat is er dan zo gevaarlijk aan deze ransomware?

Net als normale ransomware kan ook WannaCry via een bijlage in een email je computer besmetten. Als je het malafide bestand opent, dan is je computer besmet. Op deze manier worden de meeste computers met ransomware besmet.

Wat zo gevaarlijk is aan WannaCry is dat de ransomware zich automatisch verspreidt automatisch naar andere computers in hetzelfde netwerk. Daarvoor maakt het misbruik van een lek in het SMB 1.0-protocol, waarmee Windows-computers bestanden met elkaar uitwisselen. Op die manier kan de ransomware ook op interne servers met belangrijke data komen die niet met het internet zijn verbonden.

Ondanks dat het SMB 1.0-protocol al is verouderd hebben veel computers deze optie nog ingeschakeld, waardoor de malware zich in een snel tempo verspreidt.

Waarom worden vooral bedrijven nu aangevallen?

De ransomware versleutelt populaire bestanden, zoals foto's, documenten, video's en zip-bestanden, en maakt ze ontoegankelijk. Omdat de ransomware automatisch naar andere computers in hetzelfde netwerk verspreidt, hebben de criminelen zich vooral gericht op bedrijven.

Bedrijven hebben meestal grote netwerken van computers die met elkaar zijn verboden. Elke geïnfecteerde computer kan geld opleveren voor de criminelen, waardoor bedrijfsnetwerken interessanter zijn dan consumentencomputers.

Dat betekent niet dat consumenten geen gevaar lopen: ook zij kunnen worden besmet, bijvoorbeeld door een malafide bijlage te openen of in een netwerk te zitten waar één computer met WannaCry is besmet.

Is het nog steeds gevaarlijk?

Sinds zaterdag is het aantal nieuwe infecties door WannaCry afgenomen. Dat komt omdat een beveiligingsonderzoeker, die gaat onder het pseudoniem Malwaretechblog, een functie in het virus ontdekte waarmee het kan worden gestopt.

De ransomware probeert namelijk een connectie met een opvallende website te maken: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Wat bleek: zodra de malware connectie kan maken met het domein verspreidt hij zich niet meer automatisch naar andere computers in het netwerk. Op die manier werd het aantal infecties aanzienlijk verminderd.

Maar vandaag is vooral China hard getroffen door het virus. Honderdduizenden computers aan bijna 30.000 Chinese staatsinstellingen zijn besmet. Bijna 4.000 Chinese hogescholen en universiteiten hebben ook prijs.

Heeft betalen zin?

De criminelen vragen 300 dollar losgeld om weer toegang te krijgen tot je bestanden. Na drie dagen wordt het bedrag verhoogd naar 600 dollar en na zeven dagen worden al je bestanden gewist.

Het heeft vaak zin om voor ransomware te betalen als je het virus niet kunt verwijderen en je absoluut je bestanden terug wilt krijgen. Als ransomware-criminelen altijd je bestanden zouden verwijderen, is dat slecht voor de zaken: dan betalen slachtoffers nooit. Daarom zorgen de meeste makers van ransomware ervoor dat je via een automatisch systeem je bestanden terug krijgt.

Het is ook de reden waarom het bedrag relatief laag ligt, dat in stand houden van het “business model”. Daardoor valt het vervolgen van de daders en het zoeken ervan niet onder de prioriteiten van de diensten die cybercrime behandelen.

In het geval van WannaCry ligt het een beetje anders: daar moeten de criminelen handmatig de sleutel teruggeven om weer toegang te krijgen tot je versleutelde bestanden. Dat lijkt tot op heden nog niet te zijn gebeurd.

Heel weinig slachtoffers hebben ook betaald, minder dan 100. Dat valt af te leiden uit de bitcoin wallets waar het geld naartoe moest. Die zijn openbaar (wat erop staat, niet van wie ze zijn). In totaal is minder dan 25.000 euro betaald sinds vrijdag.

Klopt het dat er al een nieuwe variant is?

Ja. Die is niet voorzien van de optie om hem automatisch te stoppen, maar ze is ook niet zo gevaarlijk: de nieuwe versie verspreidt zich niet automatisch.

Het ligt echter voor de hand dat criminelen op korte termijn een nieuwe versie ontwikkelen die niet kan worden gestopt en ook automatisch naar andere computers in netwerken verspreidt.

Inmiddels zijn veel bedrijven en consumenten druk bezig om hun Windows-computers te updaten, waarmee de kans op een volgende infectie aanzienlijk wordt verminderd.