Naar de content

'Ransomware Wannacry laat zien hoe kwetsbaar onze samenleving is'

The Preiser Project, Flickr, CC BY 2.0.

De afgelopen dagen liet ransomware Wannacry een spoor van vernieling achter. Zo’n 200.000 computers in 150 landen werden geïnfecteerd met deze vorm van digitale afpersing. Dankzij een klungelige fout, die door een IT-beveiliger werd ontdekt, stopte het virus vrij snel. NEMO Kennislink sprak drie experts over hoe ransomware werkt, de gevolgen ervan en hoe je je tegen dit soort aanvallen wapent.

17 mei 2017
Sporen wijzen naar Noord-Korea

Eerder dachten beveiligingsbedrijven al te weten dat hackers die in opdracht Noord-Korea handelden achter de aanval met de Wannacry-ransomware zaten. Die conclusie wordt nu gedeeld door de Amerikaanse inlichtingendienst NSA. Ze analyseerden hiervoor onder andere de tactieken en doelen die werden gebruikt. De hackers zouden lid zijn van de zogenoemde Lazarus-groep die eerder al Sony hackte.

Het had allemaal nog zoveel erger kunnen zijn. De afgelopen dagen liet Wannacry al een ravage achter. Artsen en verplegers van Engelse ziekenhuizen konden plots belangrijke bestanden niet meer raadplegen. Ze waren genoodzaakt om de eerste hulp te sluiten. Mededelingsborden van de Duitse spoorwegen werkten niet meer goed en fabrieken van autofabrikanten Nissan en Renault kwamen stil te liggen. Allemaal kwam het door ransomware Wannacry, dat belangrijke bestanden versleutelt op je computer. Dat wordt pas ongedaan gemaakt als je 300 dollar aan bitcoins overmaakt aan de hackers. Digitale afpersing dus.

Deze boodschap kregen mensen met geïnfecteerde computers te zien.

Wikimedia commons

Ze infecteerden maar liefst 200.000 computers in 150 landen. Dat klinkt al indrukwekkend, maar een nog grotere chaos was het geweest als een IT-beveiliger niet in actie was gekomen. Hij stopte Wannacry met een opzienbarende en verrassend eenvoudige ingreep.

De IT-beveiliger, die anoniem wil blijven, ontdekte dat Wannacry contact zoekt met een domein, een ongeregistreerde website, met een lange naam. Hij besloot daarop om dat website-adres te kopen en dat stopte pardoes een verdere verspreiding van het virus. Het kostte de IT-beveiliger nog geen 15 euro. “Een toevallige held”, werd hij al genoemd door de Britse krant The Guardian.

Versleutelde foto’s

Wannacry zocht waarschijnlijk contact met het domein als zogeheten kill switch. “Dit gaf de hackers een mogelijkheid om het virus te stoppen. Het verbaasde mij dat het zo eenvoudig was om Wannacry een halt toe te roepen”, zegt IT-beveiliger Walter Belgers, eigenaar van Madison Ghurka, een bedrijf in cyber security. “Het is gebruikelijk om een kill switch in te bouwen. Maar het is klungelig van de hackers, dat een ander Wannacry zo kon stoppen. Ze hadden het domein natuurlijk zelf moeten registreren en met een wachtwoord kunnen beveiligen. Overigens is het wel heel knap gevonden door de beveiliger, dan moet je echt wat kunnen.”

Hackers zijn verantwoordelijk voor het maken en de verspreiding van Wannacry.

Brian Klug, Flickr.com, CC 2.0.

Wannacry dook na het vinden van de kill switch al snel weer op. Dit keer zonder verwijzing naar het domein. Bij beide varianten gaat het om ransomware, een manier om af te persen. Het gaat als volgt te werk. Iemand drukt op een link in een e-mail, die van de hackers afkomstig is. “Daardoor wordt een programmaatje op je computer gezet. Vaak zonder dat je het doorhebt”, zegt computerdeskundige Aiko Pras van de Universiteit Twente. “Dat programma versleutelt belangrijke bestanden op je computer. Dat kunnen foto’s zijn of financiele gegevens van een bedrijf.”

Maar Wannacry doet nog meer. Het gaat direct op zoek naar andere computers binnen een netwerk. “Bijvoorbeeld wanneer je thuis meerdere computers met elkaar verbonden hebt of in een bedrijf waar heel veel apparaten bestanden delen. Je hoeft zelf dan dus niet op een verkeerde link in een mail te hebben gedrukt. Als een collega het heeft gedaan, is dat genoeg om alle computers die met elkaar verbonden zijn te infecteren”, zegt Pras. “Dat gebeurt bijvoorbeeld via een zogeheten file sharing-protocol als smb.”

Microsoft boos

Wannacry maakt gebruik van een foutje in besturingssysteem Windows van Microsoft, dat op veel computers is geïnstalleerd. Opmerkelijk genoeg werd het foutje ontdekt door de Amerikaanse veiligheidsdienst NSA. Zij maakten vervolgens ook een programma om via dat foutje in te breken op computers met Windows. Het foutje en het programma vielen in verkeerde handen en hackers hebben het nu gebruikt voor Wannacry. NSA meldde hun ontdekking in maart aan Microsoft, maar toen had de veiligheidsdienst er dus al gebruik van gemaakt. Microsoft reageerde met een update, maar die werd door veel mensen niet geïnstalleerd waardoor Wannacry vrij spel kreeg.

Een kaart van de landen waar geinfecteerde computers waren toen het virus net was uitgebroken.

Roke, wikimedia commons

In ongewoon harde bewoordingen veroordeelde Microsoft gisteren de acties van de NSA en met name het late informeren van de softwaregigant. Een discussie barst nu los of NSA niet anders had moeten handelen. “Ik vind dat zodra een veiligheidsdienst zoiets vindt, een bedrijf als Microsoft moet worden ingelicht”, zegt _cyber security_-deskundige Wolter Pieters van de TU Delft. “Het gaat hier om het belang van de maatschappelijke veiligheid. Het risico is te groot dat er misbruik van wordt gemaakt en heel veel computers kwetsbaar zijn.”

Een update van Windows, die Microsoft dus al in maart had gegeven, had al die computers beschermd. “Toch voerden veel mensen en bedrijven die updates niet uit. Het geeft maar weer eens aan hoe belangrijk het is om dit wel te doen”, zegt Belgers. “Maar dat is niet altijd zo eenvoudig.” Belgers werkt ook in ziekenhuizen, waarvan een aantal in Engeland te maken kregen met Wannacry. “Daar heb je apparaten die niet uit mogen en dat is wel nodig om een update uit te voeren”, zegt Belgers. “Of er is medische apparatuur die alleen op een oude versie van Windows draait. Bovendien zijn in een ziekenhuis heel veel verschillende systemen met elkaar verbonden en als je ze allemaal updatet, weet je niet meer zeker of het werkt. Er zijn wel oplossingen voor, maar daar is binnen ziekenhuizen niet altijd genoeg aandacht voor.”

Daar wil je dat artsen zo snel mogelijk informatie over een patiënt kunnen vinden. Stel iemand komt binnen met ernstige bloedingen. “Dan wil je niet dat een arts eerst een heel lang wachtwoord moet invoeren. Er is altijd een spanningsveld tussen veiligheid en snelle toegang tot informatie”, aldus Belgers.
Dat de Engelse ziekenhuizen zo hard werden geraakt is toeval, denken de deskundigen. “Deze criminelen gaat het niet om leven en dood. Maar het laat wel zien hoe kwetsbaar onze samenleving is”, zegt Pieters. Dat de Nederlandse parkeerdienst Q-park is geraakt, verbaast ze wel. “De kastjes waarmee je betaalt of mensen binnenlaat, kun je eenvoudig scheiden van de rest van het netwerk. Dan is de kans op infectie veel kleiner”, zegt Belgers.

Artistieke weergave van een ‘hacker’, die bestanden op je computer beschadigd.

The Preiser Project, Flickr, CC BY 2.0.

Fiets gestolen?

De deskundigen geven aan dat deze aanval vooral weer laat zien hoe belangrijk computerbeveiliging is. “Zorg voor goede wachtwoorden, voer de updates uit en maak een back-up van je bestanden. We weten het allemaal wel, maar veel mensen vinden het veel gedoe. Maar als je deze maatregelen niet neemt, dan kun je het vergelijken met je fiets in een drukke stad neerzetten zonder deze op slot te doen. Verwacht je dan dat je fiets er op het eind van de dag nog staat? Dat geldt ook voor wachtwoorden. Natuurlijk mag je welkom01 gebruiken, maar wees dan ook niet verbaasd dat iemand met je bestanden aan de haal gaat”, zegt Belgers.

Veel mensen denken dat ze toch niets interessants hebben voor criminelen, zegt Pieters. “Deze aanval laat zien dat dit ook niet zo hoeft te zijn. De hackers richten zich op bestanden die jij zelf belangrijk vindt. Ze versleutelen bijvoorbeeld jouw foto’s. Die hoeven zij niet te hebben, ze zorgen er alleen maar voor dat je er niet meer bij kunt. Dat is genoeg voor hen om er geld voor te vragen.”

Bronnen:
ReactiesReageer