Wereldwijde cyberaanval – Wanna Decryptor

Een heleboel computers, voornamelijk van publieke instellingen, zijn vrijdagavond wereldwijd besmet geraakt met het virus ‘Wanna Decryptor’ (ook WannaCry) , dat gebruikt maak van ransomware. Dat is een relatief nieuw fenomeen waarbij cybercriminelen data van gebruikers stelen en die enkel vrijgeven in ruil voor virtueel geld.

Bij getroffen computers verschijnt op het scherm de melding dat het toestel pas weer bruikbaar is als er 300 dollar in bitcoins wordt betaald. Een klok telt intussen af tot wanneer de versleutelde bestanden helemaal onbruikbaar worden.

Wie zit er achter de aanval?

Wie er precies achter de aanval zit is onduidelijk, maar experts denken aan een grote criminele organisatie omdat de operatie zich met enorme snelheid en op grote schaal heeft afgespeeld.

Hackers hebben het virus nu dus nu op grote schaal losgelaten. Het hackingprogramma is namelijk heel eenvoudig en erg goedkoop te vinden op het internet.

Het bijzondere aan de ransomware is dat er actief gebruik wordt gemaakt van een lek in het besturingssysteem Windows dat eerder door de Amerikaanse inlichtingendienst NSA werd gebruikt, aldus de krant New York Times.

De werkwijze van de NSA werd kortgeleden gestolen door een groep hackers die zich ‘The Shadow Brokers’ zou noemen. De cybercriminelen probeerden eerst nog de werkwijze te verpatsen via een online veiling, maar gaf het kort nadien gewoon gratis te grabbel op internet. Naar eigen zeggen uit protest tegen het beleid van Trump.

Hoe kunnen bedrijven zich beveiligen tegen het virus?

Na het lek heeft de NSA Microsoft op de hoogte gebracht. Microsoft heeft dat lek ook daadwerkelijk gedicht in maart, en daarvoor een patch uitgerold. Maar dat nieuws is voornamelijk onder de radar gebleven, terwijl het wel een cruciale patch was.

Tegelijk gelden de patches enkel voor de meest recente besturingssystemen van Microsoft. Wat inhoudt dat systemen die nog gebruikmaken van een oud OS (Windows XP, Vista, Windows Server 2007) ontzettend kwetsbaar zijn. Veel zorginstellingen maken nog gebruik van Windows XP en zijn dus momenteel gevaarlijk kwetsbaar.

Belgische bedrijven die getroffen zijn, kunnen een praktisch document raadplegen op de website van het Centrum voor Cyberveiligheid .

Check zeker of MS patch MS17-010 werd geïnstalleerd op ALLE systemen !

Voor oude  Windows XP, Windows 8, & Windows Server 2003 besturingssytemen heeft Microsoft  op 13 mei 2017 een extra patch gereleased. Normaal gezien ontvangen deze systemen namelijk geen security patchen meer.

Hoe bescherm ik mezelf?

Wees zeer voorzichtig met e-mails van onbekende ­afzenders. Klik zeker niet op de bijlages in deze verdachte e-mails. Installeer een goede anti­virussoftware en kijk na of je computer alle ­updates heeft uitgevoerd. Updates verbeteren de beveiliging van je computer, waardoor het moeilijker inbreken wordt.

Neem geregeld back-ups of reservekopieën van je ­belangrijkste bestanden. Wordt je computer ­gekaapt, dan heb je je ­belangrijkste informatie nog elders staan. Slaat het ransomvirus toe, ontkoppel dan zo snel mogelijk de internetaansluiting (de netwerkkabel van het betrokken toestel).

Wat als ik zelf getroffen ben? Zeker niet betalen!

Mensen thuis zijn dan weer minder kwetsbaar, aangezien systeemupdates vaak automatisch verlopen op privé-computers.

Wie toch besmet geraakt door het virus, dient alvast onmiddellijk zijn internetverbinding uit te schakelen en eventuele externe apparaten te ontkoppelen. Ga in geen geval over tot betaling en maak melding bij de lokale politie en het federal cyber emergency team. Wie toch betaalt, is in de toekomst een makkelijker doelwit.

i-Force gaat regelmatig bij bedrijven langs om een IT Security Assessment uit te voeren. Hierbij gaan we kijken hoe het gesteld is met uw interne IT security.
Interesse ? Neem vrijblijvend contact met ons op.

Hieronder nog iets meer technische feedback (in het Engels)

Technical Details
Indicators of Compromise (IOC)

IOCs are provided within this file: ALERT_TA17-132A

Initial Analysis
The WannaCry ransomware is a loader that contains an AES-encrypted DLL. During runtime, the loader writes a file to disk named “t.wry”. The malware then uses an embedded 128-bit key to decrypt this file. This DLL, which is then loaded into the parent process, is the actual Wanna Cry Ransomware responsible for encrypting the user’s files. Using this cryptographic loading method, the WannaCry DLL is never directly exposed on disk and not vulnerable to antivirus software scans.
The newly loaded DLL immediately begins encrypting files on the victim’s system and encrypts the user’s files with 128-bit AES. A random key is generated for the encryption of each file.
The malware also attempts to access the IPC$ shares and SMB resources the victim system has access to. This access permits the malware to spread itself laterally on a compromised network. However, the malware never attempts to attain a password from the victim’s account in order to access the IPC$ share.
This malware is designed to spread laterally on a network by gaining unauthorized access to the IPC$ share on network resources on the network on which it is operating.

 

Recommended Steps for Prevention

  • Apply the Microsoft patch for the MS17-010 SMB vulnerability dated March 14, 2017.
  • Enable strong spam filters to prevent phishing e-mails from reaching the end users and authenticate in-bound e-mail using technologies like Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM) to prevent e-mail spoofing.
  • Scan all incoming and outgoing e-mails to detect threats and filter executable files from reaching the end users.
  • Ensure anti-virus and anti-malware solutions are set to automatically conduct regular scans.
  • Manage the use of privileged accounts. Implement the principle of least privilege. No users should be assigned administrative access unless absolutely needed. Those with a need for administrator accounts should only use them when necessary.
  • Configure access controls including file, directory, and network share permissions with least privilege in mind. If a user only needs to read specific files, they should not have write access to those files, directories, or shares.
  • Disable macro scripts from Microsoft Office files transmitted via e-mail. Consider using Office Viewer software to open Microsoft Office files transmitted via e-mail instead of full Office suite applications.
  • Develop, institute and practice employee education programs for identifying scams, malicious links, and attempted social engineering.
  • Have regular penetration tests run against the network. No less than once a year. Ideally, as often as possible/practical.
  • Test your backups to ensure they work correctly upon use.