WannaCry: The Worm that Ate the World
Oude Noorse legendes spreken van een enorme slang genaamd Jörmungandr, zo groot dat hij de wereld omgeeft en zijn eigen staart in zijn tanden houdt.
Fantastische legendes zoals deze worden vaak alleen in mythen genoemd, maar afgelopen vrijdag waren we getuige van de geboorte van een echte digitale 'wereldserpent', een worm die zich tot dusver verspreidde, dat het de hele wereld omvatte, en diensten infecteerde zoals de nationale overheid van het Verenigd Koninkrijk. Gezondheidszorg en grote bedrijven in andere delen van de wereld zoals Telefónica in Spanje.
Hoewel experts nog steeds proberen te achterhalen hoe deze worm zich blijft verspreiden en hoe de dreiging kan worden bestreden, hebben we een goed idee van wat er is gebeurd en hoe u actie kunt ondernemen om schade aan uw systeem te voorkomen.
Wat is er gebeurd?
Op 12 mei 2017 vond een massale cyberaanval plaats door een onbekend stuk ransomware (lees hier meer over ransomware). Uiteindelijk kreeg het de naam WannaCry en het slaagde erin om ongekende 230.000 systemen in 150 landen te infecteren door een combinatie van phishing en exploitatie van niet-gepatchte systemen via lokale serverberichtblokken (SMB's).
De ransomware zou je uit je bestanden blokkeren en je een scherm laten zien (zie hieronder) dat binnen drie dagen $ 300 in Bitcoin eiste om weer toegang tot hen te krijgen, anders zou de prijs verdubbelen.
Hoewel ransomware doorgaans werkt, was er een klein probleempje waardoor het nog sneller werd verspreid. WannaCry maakte gebruik van een fout in SMB (die verantwoordelijk is voor het delen van bestanden en printers) waarmee het zich kon verspreiden naar andere computers binnen hetzelfde subnet. Het vergde slechts de infectie van één enkele computer om het hele netwerk te ontslaan. Dit is eigenlijk wat de infectie tot een nachtmerrie voor de NHS en andere grote instellingen maakte.
Misschien is nog een opmerkelijk iets om hier op te noemen dat de SMB-uitbuiting meer dan een maand geleden is overgenomen uit het lek van de NSA-hackingtoolkit. We hebben gerapporteerd over een vergelijkbaar lek van de Vault 7-bestanden van de CIA, die ook een aantal functionerende exploits bevatten die door hackers op elk moment kunnen worden gebruikt om vergelijkbare malware te schrijven.
The Kill Switch
Een onbekende veiligheidsonderzoeker die de bijnaam "MalwareTech" heet, registreerde een domein dat werd gevonden in WannaCry's code waardoor de verspreiding van de software werd gestopt. Elke keer dat de malware op een computer zou draaien, zou het controleren of het domein bestaat (het is trouwens iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ). Als het zou worden geregistreerd, zou de malware er verbinding mee kunnen maken en zou het onmiddellijk stoppen met verspreiden. Het lijkt erop dat de hacker die het schreef, de wateren wilde testen en een noodplan had voor het geval de zaak absoluut uit de hand zou lopen. Dit serendipitale moment hield de ransomware tegen om meer ravage aan te richten ... althans voorlopig.
Hier is de grimmige waarheid: hier is geen happy end. Decompileer de code en u kunt eenvoudig de stukken vinden waar de toepassing de WinAPI-functies "InternetOpenURLA ()" of "InternetOpenA ()" noemt. Uiteindelijk kunt u het fragment bewerken waar het probeert verbinding te maken met de kill wissel domein. Het vereist geen buitengewoon bekwame programmeur om dit te doen, en als een hacker het slimme idee krijgt om een nieuwe versie van WannaCry te maken waarbij de kill-schakelaar wordt bewerkt voordat iedereen zijn systemen patcht, zal de spread worden voortgezet. Meer ondernemende hackers zullen zelfs het Bitcoin-account bewerken waar betalingen naar toe moeten en een flinke winst maken.
Er zijn al versies van WannaCry met verschillende kill switch-domeinen in het wild gespot en we moeten nog bevestigen of er een versie zonder kill-schakelaar is verschenen.
Wat kan je doen?
In het licht van wat er is gebeurd, heeft Microsoft snel gereageerd met patches, zelfs met betrekking tot niet-ondersteunde besturingssysteemversies zoals Windows XP. Zolang u uw systeem up-to-date houdt, moet u de SMB-niveau-infectie niet ervaren. U kunt echter nog steeds besmet raken als u een phishing-e-mail opent. Vergeet nooit om uitvoerbare bestanden te openen die als e-mailbijlagen zijn verzonden. Zolang je een beetje voorzichtigheid uitoefent, moet je in staat zijn om de aanval te overleven.
Wat betreft de overheidsinstellingen die zijn gehackt, dit zou niet gebeuren als ze eenvoudigweg hun missiekritieke systemen zouden luchten.
Moeten we meer gedurfde aanvallen verwachten nadat hackers misbruik hebben gemaakt van de recente Amerikaanse beveiligingslekken? Vertel ons wat je denkt in een reactie!