2min

De WannaCry-ransomware die in mei 2017 wereldwijd honderdduizenden slachtoffers maakte, is nog altijd actief. Volgens nieuw onderzoek van Sophos maakt de ransomware zelfs meer slachtoffers dan ooit.

Volgens de securityspecialist zijn er aangepaste versies van WannaCry die in het wild computers aanvallen, schrijft Silicon Angle. Maandelijks worden miljoenen dreigingen gestopt en er zijn duizenden varianten gevonden. De originele malware is echter niet geüpdatet.

In totaal ontdekte Sophos 12.480 varianten van de originele code. Daarbij zijn 2.700 monsters, die goed zijn voor 98 procent van de detecties, zo aangepast dat ze de kill switch omzeilen. De originele WannaCry-ransomware bleek te stoppen te zijn door dedomeinnaam in de code te registreren. Met deze kill switch werd de grote uitbraak van ransomware uiteindelijk gestopt.

Varianten op de ransomware blijken dus nog steeds om zich heen te slaan. In de maand augustus van 2019 ontdekte alleen al Sophos 4,3 miljoen instances van WannaCry. In die maand ging het om 6.963 verschillende varianten. 5.555 daarvan – of 80 procent – waren nieuwe bestanden.

Nieuwe vorm van bescherming

De onderzoekers vonden ook een nieuwe manier om immuun te worden voor de WannaCry-infectie. De varianten controleren namelijk of een computer al is geïnfecteerd. Is dat het geval, dan gaat het virus door naar een ander doelwit. Dit betekent dus dat als er een versie van WannaCry op de computer wordt geplaatst die niets meer kan doen. Dan beschermt de malware het apparaat tegen infecties van actieve varianten. De onderzoekers noemen dit een “onopzettelijk vaccin”.

De onderzoekers concluderen bovendien dat de meeste vormen van WannaCry niet naar behoren werken. De meeste varianten kunnen namelijk geen bestanden meer versleutelen.

Gemiste patches

De resultaten benadrukken echter ook dat veel computers nog niet zijn gepatcht, geeft beveiligingsspecialist Peter Mackenzie van Sophos aan. “Ons onderzoek geeft weer hoeveel niet-gepatchte computers er nog zijn. En als je de updates die twee jaar geleden verschenen nog niet geïnstalleerd hebt, hoeveel andere patches heb je dan gemist?”

Mackenzie benadrukt verder dat sommige slachtoffers geluk hebben gehad, omdat de malware hen immuun maakte tegen nieuwe versies. “Maar organisaties moeten hier niet op vertrouwen.” Volgens de Sophos-specialist is het belangrijk dat bedrijven een beleid hebben waarbij ze patches installeren als ze verschijnen en een robuuste beveiligingsoplossing hebben die alle endpoints, netwerken en systemen omvat.