16 juni 2017

Het is mij gelukkig niet gebeurd, maar wat zou ík doen als mijn belangrijkste bestanden waren gegijzeld door Wannacry? Betalen lijkt aantrekkelijk, maar krijg ik mijn bestanden echt terug? Bovendien beloon ik de hackers… Een duivels dilemma, dat duizenden mensen vorige maand op hun bord kregen. Nu denkt de Amerikaanse inlichtingendienst NSA te weten wie achter de hack schuilde.

Je leest:

‘Ransomware Wannacry laat zien hoe kwetsbaar onze samenleving is’

‘Ransomware Wannacry laat zien hoe kwetsbaar onze samenleving is’

Auteur:
The Preiser Project, Flickr, CC BY 2.0.

De afgelopen dagen liet ransomware Wannacry een spoor van vernieling achter. Zo’n 200.000 computers in 150 landen werden geïnfecteerd met deze vorm van digitale afpersing. Dankzij een klungelige fout, die door een IT-beveiliger werd ontdekt, stopte het virus vrij snel. NEMO Kennislink sprak drie experts over hoe ransomware werkt, de gevolgen ervan en hoe je je tegen dit soort aanvallen wapent.

Sporen wijzen naar Noord-Korea

Eerder dachten beveiligingsbedrijven al te weten dat hackers die in opdracht Noord-Korea handelden achter de aanval met de Wannacry-ransomware zaten. Die conclusie wordt nu gedeeld door de Amerikaanse inlichtingendienst NSA. Ze analyseerden hiervoor onder andere de tactieken en doelen die werden gebruikt. De hackers zouden lid zijn van de zogenoemde Lazarus-groep die eerder al Sony hackte.

Het had allemaal nog zoveel erger kunnen zijn. De afgelopen dagen liet Wannacry al een ravage achter. Artsen en verplegers van Engelse ziekenhuizen konden plots belangrijke bestanden niet meer raadplegen. Ze waren genoodzaakt om de eerste hulp te sluiten. Mededelingsborden van de Duitse spoorwegen werkten niet meer goed en fabrieken van autofabrikanten Nissan en Renault kwamen stil te liggen. Allemaal kwam het door ransomware Wannacry, dat belangrijke bestanden versleutelt op je computer. Dat wordt pas ongedaan gemaakt als je 300 dollar aan bitcoins overmaakt aan de hackers. Digitale afpersing dus.

Wana decrypt0r screenshot
Deze boodschap kregen mensen met geïnfecteerde computers te zien.

Ze infecteerden maar liefst 200.000 computers in 150 landen. Dat klinkt al indrukwekkend, maar een nog grotere chaos was het geweest als een IT-beveiliger niet in actie was gekomen. Hij stopte Wannacry met een opzienbarende en verrassend eenvoudige ingreep.

Hoe stop je een virus als Wannacry?

Daarvoor gebruiken IT-beveiligers speciale computers waarmee ze stap voor stap nagaan wat het virus doet. “Het is een wapenwedloop”, zegt Belgers. “Criminelen zetten rare code in hun virussen, die niks doet om beveiligers te misleiden. Of het virus reageert anders als ze doorhebben dat ze op zo’n speciale computer staan. Hackers doen er alles aan om het ons zo moeilijk mogelijk te maken.” Lees hier een Engels blog over hoe WannaCry, ook wel WannaCrypt, werd geanalyseerd.

De IT-beveiliger, die anoniem wil blijven, ontdekte dat Wannacry contact zoekt met een domein, een ongeregistreerde website, met een lange naam. Hij besloot daarop om dat website-adres te kopen en dat stopte pardoes een verdere verspreiding van het virus. Het kostte de IT-beveiliger nog geen 15 euro. “Een toevallige held”, werd hij al genoemd door de Britse krant The Guardian.

Versleutelde foto’s

Wannacry zocht waarschijnlijk contact met het domein als zogeheten kill switch. “Dit gaf de hackers een mogelijkheid om het virus te stoppen. Het verbaasde mij dat het zo eenvoudig was om Wannacry een halt toe te roepen”, zegt IT-beveiliger Walter Belgers, eigenaar van Madison Ghurka, een bedrijf in cyber security. “Het is gebruikelijk om een kill switch in te bouwen. Maar het is klungelig van de hackers, dat een ander Wannacry zo kon stoppen. Ze hadden het domein natuurlijk zelf moeten registreren en met een wachtwoord kunnen beveiligen. Overigens is het wel heel knap gevonden door de beveiliger, dan moet je echt wat kunnen.”

7016112897 ab91740ebf o
Hackers zijn verantwoordelijk voor het maken en de verspreiding van Wannacry.
Brian Klug, Flickr.com, CC 2.0.

Wannacry dook na het vinden van de kill switch al snel weer op. Dit keer zonder verwijzing naar het domein. Bij beide varianten gaat het om ransomware, een manier om af te persen. Het gaat als volgt te werk. Iemand drukt op een link in een e-mail, die van de hackers afkomstig is. “Daardoor wordt een programmaatje op je computer gezet. Vaak zonder dat je het doorhebt”, zegt computerdeskundige Aiko Pras van de Universiteit Twente. “Dat programma versleutelt belangrijke bestanden op je computer. Dat kunnen foto’s zijn of financiele gegevens van een bedrijf.”

Maar Wannacry doet nog meer. Het gaat direct op zoek naar andere computers binnen een netwerk. “Bijvoorbeeld wanneer je thuis meerdere computers met elkaar verbonden hebt of in een bedrijf waar heel veel apparaten bestanden delen. Je hoeft zelf dan dus niet op een verkeerde link in een mail te hebben gedrukt. Als een collega het heeft gedaan, is dat genoeg om alle computers die met elkaar verbonden zijn te infecteren”, zegt Pras. “Dat gebeurt bijvoorbeeld via een zogeheten file sharing-protocol als smb.”

Microsoft boos

Wannacry maakt gebruik van een foutje in besturingssysteem Windows van Microsoft, dat op veel computers is geïnstalleerd. Opmerkelijk genoeg werd het foutje ontdekt door de Amerikaanse veiligheidsdienst NSA. Zij maakten vervolgens ook een programma om via dat foutje in te breken op computers met Windows. Het foutje en het programma vielen in verkeerde handen en hackers hebben het nu gebruikt voor Wannacry. NSA meldde hun ontdekking in maart aan Microsoft, maar toen had de veiligheidsdienst er dus al gebruik van gemaakt. Microsoft reageerde met een update, maar die werd door veel mensen niet geïnstalleerd waardoor Wannacry vrij spel kreeg.

Countries initially affected in wannacry ransomware attack
Een kaart van de landen waar geinfecteerde computers waren toen het virus net was uitgebroken.

Hoe stop je Wannacry op je computer?

De infectie met Wannacry was te voorkomen als je Windows had geüpdatet. Ook is het altijd verstandig om een back-up te maken, zodat er een kopie is van je bestanden. Het is maar zeer de vraag of je de criminelen kunt vertrouwen en na betaling weer toegang krijgt tot je bestanden. Tijdschrift Wired maakte een interessant artikel over hoe je onderhandelt met hackers.

In ongewoon harde bewoordingen veroordeelde Microsoft gisteren de acties van de NSA en met name het late informeren van de softwaregigant. Een discussie barst nu los of NSA niet anders had moeten handelen. “Ik vind dat zodra een veiligheidsdienst zoiets vindt, een bedrijf als Microsoft moet worden ingelicht”, zegt cyber security-deskundige Wolter Pieters van de TU Delft. “Het gaat hier om het belang van de maatschappelijke veiligheid. Het risico is te groot dat er misbruik van wordt gemaakt en heel veel computers kwetsbaar zijn.”

Een update van Windows, die Microsoft dus al in maart had gegeven, had al die computers beschermd. “Toch voerden veel mensen en bedrijven die updates niet uit. Het geeft maar weer eens aan hoe belangrijk het is om dit wel te doen”, zegt Belgers. “Maar dat is niet altijd zo eenvoudig.” Belgers werkt ook in ziekenhuizen, waarvan een aantal in Engeland te maken kregen met Wannacry. “Daar heb je apparaten die niet uit mogen en dat is wel nodig om een update uit te voeren”, zegt Belgers. “Of er is medische apparatuur die alleen op een oude versie van Windows draait. Bovendien zijn in een ziekenhuis heel veel verschillende systemen met elkaar verbonden en als je ze allemaal updatet, weet je niet meer zeker of het werkt. Er zijn wel oplossingen voor, maar daar is binnen ziekenhuizen niet altijd genoeg aandacht voor.”

Daar wil je dat artsen zo snel mogelijk informatie over een patiënt kunnen vinden. Stel iemand komt binnen met ernstige bloedingen. “Dan wil je niet dat een arts eerst een heel lang wachtwoord moet invoeren. Er is altijd een spanningsveld tussen veiligheid en snelle toegang tot informatie”, aldus Belgers. Dat de Engelse ziekenhuizen zo hard werden geraakt is toeval, denken de deskundigen. “Deze criminelen gaat het niet om leven en dood. Maar het laat wel zien hoe kwetsbaar onze samenleving is”, zegt Pieters. Dat de Nederlandse parkeerdienst Q-park is geraakt, verbaast ze wel. “De kastjes waarmee je betaalt of mensen binnenlaat, kun je eenvoudig scheiden van de rest van het netwerk. Dan is de kans op infectie veel kleiner”, zegt Belgers.

12102280105 e1b3189ea0 o
Artistieke weergave van een ‘hacker’, die bestanden op je computer beschadigd.
The Preiser Project, Flickr, CC BY 2.0.

Fiets gestolen?

De deskundigen geven aan dat deze aanval vooral weer laat zien hoe belangrijk computerbeveiliging is. “Zorg voor goede wachtwoorden, voer de updates uit en maak een back-up van je bestanden. We weten het allemaal wel, maar veel mensen vinden het veel gedoe. Maar als je deze maatregelen niet neemt, dan kun je het vergelijken met je fiets in een drukke stad neerzetten zonder deze op slot te doen. Verwacht je dan dat je fiets er op het eind van de dag nog staat? Dat geldt ook voor wachtwoorden. Natuurlijk mag je welkom01 gebruiken, maar wees dan ook niet verbaasd dat iemand met je bestanden aan de haal gaat”, zegt Belgers.

Veel mensen denken dat ze toch niets interessants hebben voor criminelen, zegt Pieters. “Deze aanval laat zien dat dit ook niet zo hoeft te zijn. De hackers richten zich op bestanden die jij zelf belangrijk vindt. Ze versleutelen bijvoorbeeld jouw foto’s. Die hoeven zij niet te hebben, ze zorgen er alleen maar voor dat je er niet meer bij kunt. Dat is genoeg voor hen om er geld voor te vragen.”

Dit artikel is een publicatie van NEMO Kennislink.
© NEMO Kennislink, sommige rechten voorbehouden
Dit artikel publiceerde NEMO Kennislink op 17 mei 2017

Discussieer mee

0

Vragen, opmerkingen of bijdragen over dit artikel of het onderwerp? Neem deel aan de discussie.

LEES EN DRAAG BIJ AAN DE DISCUSSIE