Internationale cyberaanval

Wereldwijde gijzelsoftware-aanval toevallig stilgelegd

De wereldwijde gijzelsoftware-aanval op computers is stilgelegd. Een cybersecurity-onderzoeker heeft eerder toevallig een manier gevonden om verdere besmetting te voorkomen.

2 De WannaCry-ransomware heeft vooral schade aangericht in Europa en Azië. © EPA

De Britse cybersecurity-onderzoeker die de aanval stil heeft weten te leggen ontdekte dat het virus zichzelf uit kan zetten met een ingebouwde 'kill switch'. 

Het enige wat de "toevallige held" moest doen om de globale verspreiding van de WannaCry-ransomware te stoppen, is een domeinnaam ter waarde van 10,69 dollar kopen. De onderzoeker was aan het grasduinen in de regels schadelijke code en ontdekte de regel waar staat dat de ransomware contact zoekt met een domeinnaam bestaande uit een wirwar van tekens. De schadelijke software maakt bij elke aanval verbinding met de domeinnaam, die diep verborgen zat in de schadelijke software.

"Ik wist pas dat het registreren van de domein de malware zou stoppen nadat ik de domeinnaam had geregistreerd", zegt de onderzoeker, die twittert onder de naam MalwareTech. "Dus eigenlijk was het toevallig."

Zodra de deskundige de domeinnaam had geregistreerd, waren er meteen duizenden verbindingen per seconde. "Ik kan alleen maar 'toevallig een internationale cyberaanval gestopt' toevoegen aan mijn cv", grapt hij.

De verdere verspreiding van de massale ransomwareaanval, waar landen gisteren wereldwijd door werden getroffen, is daarmee gestopt. Maar het stilleggen van de verspreiding van het virus heeft geen invloed op computers die al besmet zijn. Daar is het nog steeds wachten op bijvoorbeeld een decryptietool of het terugzetten van een backup. De 300 dollar aan losgeld in Bitcoin betalen is natuurlijk ook een optie, maar deze wordt afgeraden.

De onderzoeker benadrukt bovendien dat de verantwoordelijken de aanval gewoon weer in zouden kunnen zetten door deze regel code aan te passen en de ransomware opnieuw in het wild los te laten. Het is dus zaak om het Windows-beveiligingslek in kwestie zo snel mogelijk te dichten met de daarvoor ontwikkelde update MS17-010.

Lees ook: Ook uw computer kan gegijzeld worden: lees hier wat u er tegen doet

Ziekenhuizen en banken in Azië en Europa konden door de 'gijzeling' niet meer bij hun computerbestanden, tenzij ze losgeld aan de criminelen achter de aanval zouden betalen.

Door de domeinnaam te registeren, heeft de onderzoeker tijd gekocht voor Amerikaanse bedrijven en overheidsinstanties om hun software te updaten om een aanval te voorkomen.

2 De WannaCry-ransomware. © EPA

Het begon vrijdag rond een uur of 2 in een groot aantal Britse ziekenhuizen. Medewerkers kregen op hun computers berichten waarin melding werd gemaakt van het kapen van hun computer. Het is een typisch voorbeeld van ransomware (gijzelingssoftware): pas na betaling worden de systemen weer vrijgegeven. In dit geval gaat het om een bedrag van 300 dollar, te betalen in bitcoins. De aanvallen zijn puur gericht op afpersing, niet uit politieke doeleinden. Ook hebben de criminelen zich niet specifiek op één doel gericht.

De aanval is gedaan met een nieuwe ransomware-variant, WannaCry genaamd. Dit programma verspreidt zich razendsnel via de netwerken waar computers op zijn aangesloten, zoals in het geval van de Engelse ziekenhuizen, maar ook bij Spaanse banken. Zodra een computer is besmet, gaat deze op zoek naar andere slachtoffers in het netwerk.

Verouderde versies

Share

De Amerikaanse inlichtingendienst NSA was de eerste organisatie die gebruikmaakte van WannaCry

Volgens Mark Loman, beveiligingsonderzoeker bij Sophos, is de oorzaak van de aanval te herleiden naar vorig jaar, toen de NSA is gehackt. De Amerikaanse inlichtingendienst NSA was de eerste organisatie die gebruikmaakte van WannaCry, maar via deze hack kwam de software in handen van een hackersgroep genaamd Shadow Brokers. Deze groep bood de ransomware samen met ander hackgereedschap voor miljoenen aan criminelen of andere geïnteresseerden aan, maar niemand hapte toe. Ook de NSA niet. Hierop dreigde Shadow Brokers alles online te gooien, wat in april daadwerkelijk is gebeurd, met de aanval van vandaag tot gevolg.

De NSA heeft in maart wel Microsoft gewaarschuwd omdat WannaCry gebruik maakt van een lek in Windows. Hierop kwam Microsoft in diezelfde maand met een zogenoemde patch uit, dat het probleem verhelpt. "Het probleem is echter dat verouderde Windows-versies niet worden ondersteund", zegt Loman. Als ziekenhuizen bijvoorbeeld gebruikmaken van Windows XP, dan zijn ze kwetsbaar.

Het is nog onduidelijk waar WannaCry precies aan zijn opmars is begonnen. Dat kan zijn gebeurd via een mailtje met een link naar een besmette site. 

nieuws

cult

zine