Niet huilen als je besmet bent met WannaCry-ransomware

Security
Niet huilen als je besmet bent met WannaCry-ransomware

Afgelopen weekend kwam de wereld snel in de greep van WannaCry (ook wel WannaCrypt genoemd), een nieuwe ransomware variant die meer dan 200.000 systemen in zijn macht heeft gekregen in slechts 48 uur. In Nederland viel de schade relatief mee, alleen Q-Park lijkt veel last gehad te hebben van de ransomware, maar hoe ernstig is de situatie nou echt? Een stukje duiding.

Het gaat in dit geval om ransomware, een vorm van malware die het afgelopen jaar pas echt populair is geworden, maar al ruim 20 jaar bestaat. Bij ransomware worden een compleet computersysteem of enkele belangrijke bestanden gegijzeld door de bestanden te versleutelen. Pas na betaling van een hoeveelheid Bitcoins krijgen gebruikers hun data of systeem terug. Garantie dat het betalen van losgeld ook echt helpt is er overigens niet, beveiligingsbedrijven adviseren over het algemeen dan ook om niet te betalen. In dit geval gaat het om 300 euro per systeem, maar dat lijkt niet te helpen.

De ransomware die de wereld nu even in zijn macht heeft draagt de naam WannaCry. De vraag die wij ons stellen in dit blog is of de bedrijven die zijn getroffen door deze ransomware nu eigenlijk wel mogen/moeten huilen. Kun je wellicht beter zeggen dat ze plat gezegd niet moeten janken, omdat ze zelf te laks zijn geweest met hun beveiliging?

Als we internationaal kijken naar de lijst van bedrijven en organisaties die in grote problemen zijn gekomen door WannaCry is het toch even schrikken: Autofabrikant Renault, Deutsche Bahn, FedEx, Q-Park, Russische Ministerie van Binnenlandse Zaken, Telefonica, verschillende ziekenhuizen in het Verenigd Koninkrijk. Dat zijn slechts de bedrijven die erkend hebben last te hebben van WannaCry, er zijn er ongetwijfeld nog veel meer. Er wordt gesproken over meer dan 200.000 slachtoffers in meer dan 150 landen.

Wiens schuld is dit?

Uiteindelijk is het verspreiden van malware zoals WannaCry natuurlijk altijd de schuld van de cybercriminelen die de ransomware in omloop hebben gebracht en de phishingactie hebben opgestart om alle systemen te besmetten. Dat betekent echter niet dat je je niet kan wapenen tegen ransomware. Verschillende beveiligingsbedrijven hebben technologie op de markt gebracht om ransomware te detecteren en tegen te houden.

In dit geval hebben de criminelen gebruik gemaakt van een beveiligingslek in Windows, een beveiligingslek dat op 14 maart al is gedicht in Windows 10 door Microsoft via een Windows Update. Het beveiligingslek is ontdekt door de Amerikaanse inlichtingendienst NSA, maar niet gemeld aan de softwaregigant. In plaats daarvan heeft de NSA een hack ontwikkeld om het lek te misbruiken en die software is vervolgens weer op straat komen te liggen.

Is Microsoft dan ook schuldig? Of de NSA? Wellicht, maar Microsoft heeft het lek wel direct gedicht toen het bedrijf dit onder ogen kreeg. Het lek is echter alleen gedicht in Windows 8.1 en Windows 10 maar niet in Windows XP, Windows Vista en Windows 8. Deze laatste drie producten worden officieel niet meer ondersteund door Microsoft.

Microsoft heeft uiteindelijk afgelopen weekend wel een patch uitgebracht voor de drie Windows-versies die niet meer worden ondersteund, zodat de malware niet nog meer schade zou aanrichten. Microsoft heeft dus eigenlijk meer gedaan dan het zou hoeven doen.

De NSA wast zijn handen in onschuld en laat in een officiële reactie weten dat deze ransomware niet is ontwikkeld door de geheime dienst. Iets wat technisch gezien klopt, want de NSA zou nooit ransomware ontwikkelen. Wat de geheime dienst echter niet ontkent is dat een groot deel van de code wel afkomstig is van de NSA. Code die misbruik maakt van een beveiligingslek in Windows om toegang te krijgen tot het systeem, de criminelen hebben daar vervolgens een ransomware module achter geplakt.

Inmiddels heeft Symantec een verklaring uitgegeven waarin valt te lezen dat er mogelijk een hackersgroep uit Noord-Korea achter de ransomware zit. Die zouden de code van de NSA hebben aangepast en verspreid. Misschien is Noord-Korea wel de schuldige?

Slachtoffers zijn zelf net zo schuldig

Bedrijven die slachtoffer zijn geworden van deze ransomware en te kampen hebben met een financiële strop omdat ze de productie hebben moeten stilleggen (Renault) of parkeergarages waar niet betaald kon worden (Q-Park), zijn wat ons betreft zelf ook schuldig.

Het is namelijk ook een stukje laksheid, deze besmetting had namelijk voorkomen kunnen worden. De meeste bedrijven die besmet zijn geraakt maken nog steeds gebruik van zeer verouderde software die allang vervangen had moeten worden. Zo wordt Windows XP nog veel gebruikt, een besturingssysteem waarvan de officiële ondersteuning op 8 april 2014 – ruim drie jaar geleden dus – is gestaakt. Bedrijven zullen zich hier ongetwijfeld tegen verdedigen dat ze een applicatie hebben die alleen werkt onder Windows XP. In drie jaar kun je echter wat ons betreft uitstekend functionerende toekomstgerichte ontwikkelen. Daarnaast zijn er beveiligingsproducten waarmee je ook Windows XP compleet kan dichttimmeren, waardoor alleen geautoriseerde applicaties werken.

Verder zijn veel gebruikers en bedrijven tegenwoordig lui met het installeren van beveiligingsupdates, maar deze zijn er niet voor niks. Microsoft heeft de patch voor Windows 10 al op 14 maart uitgegeven, dus als een Windows 10-machine besmet is geraakt is er al twee maanden geen update geïnstalleerd.

De oplossing ligt altijd in backups

Dat betekent overigens niet dat je met een volledig gepatched systeem niet besmet kan raken. Als er echt een zero-day beveiligingslek wordt gebruikt dat Microsoft nog niet kent, dan kunnen in theorie alle systemen besmet raken. Dat was in dit geval overigens niet zo. Gebruikmaken van een beveiligingsproduct dat het gedrag van ransomware herkent is handig en zouden we sowieso in zakelijke omgevingen aanraden. De belangrijkste beveiligingsmaatregel is echter om regelmatig backups te maken, zodat als de systemen besmet raken er een backup teruggezet kan worden en de bedrijfsvoering er niet onder hoeft te lijden. Deze backups moeten overigens ook worden opgeslagen op een server die niet direct toegankelijk is door de clients.

Feit is echter dat bedrijven hun backups nog steeds niet op orde hebben en dan krijg je situaties waarbij de bedrijfsvoering stil komt te liggen.

WannaCry is een lesje beveiliging

Laat deze WannaCry ransomware een lesje in beveiliging zijn voor alle systeembeheerders en bedrijven, dan komt er nog iets goeds uit voort. Nu ben je misschien buiten schot gebleven of is de schade beperkt gebleven. De volgende keer ben je misschien wel de pineut. Zorg er dus voor dat je backups goed geregeld zijn, patches regelmatig worden uitgerold en oude niet ondersteunde software wordt vervangen. Ook als je gebruik maakt van macOS is beveiliging overigens belangrijk, de afgelopen jaren neemt de hoeveelheid malware voor macOS namelijk ook toe.