WannaCry, de grootste ransomware-uitbraak ooit
F-Secure Labs waarschuwde voor de exponentiële groei van ransomware en de gevaren van overheidsobservatietools. Cypto-ransomware WannaCry – welke vrijdag de hele wereld overnam – lijkt de ergst mogelijke combinatie hiervan.
Onderaan dit artikel vind je een concreet stappenplan voor bestaande F-Secure klanten waarmee je jouw bedrijf volledig kan wapenen tegen WannaCry.
Geïnfecteerde gebruikers konden hun device pas weer gebruiken na het betalen van losgeld dat opliep tot $300 in Bitcoin. Deze crimeware maakt gebruik van kwetsbaarheden die bekend werden door gelekte tools van de NSA. Deze tools werden eerder dit jaar vrijgegeven door The Shadow Brokers.
F-Secure ontving meldingen uit meer dan 60 landen. Mikko Hypponen, onze chief research officer, noemt het “de grootste ransomware uitbraak in de geschiedenis.”
WannaCry in actie:
De National Health Service in Engeland is een van de grootste organisaties die werd getroffen. Behandeling en operaties moesten door de infectie uitgesteld worden. Ambulances moesten zelfs uitwijken naar andere ziekenhuizen.
De effecten waren zichtbaar over de hele wereld.
Dit was vrijdag in Frankfurt te zien:
Just got to Frankfurt and took a picture of this… #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p
— Marco (@AvasMarco) May 12, 2017
Hetzelfde overkwam een laboratorium in een Italiaanse universiteit:
A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv
— anita max wynn (@dodicin) May 12, 2017
In Nederland zagen we de gevolgen onder andere bij Q-Park:
@Arjanolsthoorn Hierdoor 🙂 #qpark heeft een ICT afdeling die achterloopt… pic.twitter.com/WN56rpjlbC
— John Do (@Food4ears) 13 mei 2017
De ransomware werd verspreid via spam en drong de organisatie verder binnen als een worm.
Dit hebben we sinds Conficker in 2008 niet meer gezien. Deze computerworm ging op een soortgelijke manier te werk.
De exploit, bekend als MS17-010, werd eerder gepatcht door Microsoft. Windows XP-machines ontvangen echter geen updates, waardoor ze een groot risico lopen. Hetzelfde geldt voor Windows-machines zonder de updates van 15 maart.
Bedrijven met goed geconfigureerde firewalls hebben waarschijnlijk de verspreiding geminimaliseerd.
Dus hoe groot is deze uitbraak? Groot. En het wordt groter.
We weten dat dit crimeware is. Het gaat om criminelen die geld willen verdienen, zoals ze dat de afgelopen jaren doen met ransomware. Dat betekent dat de slachtoffers toegang krijgen tot hun machines door het losgeld te betalen. Echter is er een kans dat de wetshandhaving de daders te pakken krijgt en zo ook de encryptiesleutel achterhaalt.
Helaas is er wel de mogelijkheid dat deze uitbraak mensen of zelfs landen op het idee brengt om soortgelijke cyberwapens te maken. En dan zonder de mogelijkheid om ooit je gegevens nog te herstellen. Dat is echt het worst-case-scenario.
Dus. Wat nu? Wil je geen risico lopen? Update dan jouw systemen en volg dit advies om jouw bedrijf te beschermen tegen ransomware.
Wil je in het vervolg echt geen risico lopen? De producten van F-Secure houden de WannaCry ransomware trojan tegen. Sterker nog, in feite blokkeren we meerdere mechanismen in de infectie vector. Over heel de wereld hielden we de crimeware al tegen:
Heb je al F-Secure producten draaien? Dan adviseren we het volgende:
- Zorg er voor dat DeepGuard en real-time beveiliging is ingeschakeld op alle endpoints.
- Identificeer endpoints zonder de Microsoft-patch (4013389).
- Patch het probleem onmiddellijk met Software Updater. Lukt het niet om te patchen? Schakel dan SMBv1 uit met de stappen die hier beschreven staan.
- Configureer de firewall om verkeer correct tegen te houden:
- Block 445 inbound op alle interne en internetgerichte Windows-systemen om te voorkomen dat werkstations geïnfecteerd raken.
- Block 455 outbound om te voorkomen dat de servers WannaCrypt binnen het netwerk verspreiden.
- Als alternatief kun je F-Secure Firewall policy instellen op de hoogste beveiliging, zodat aanvallen tegengehouden worden.
Categorieën