Beveiligingsonderzoekers wereldwijd sloegen vrijdag 12 mei groot alarm nadat de ransomware WannaCry zich in een razend tempo bleek te verspreiden. Deze kwaadaardige software neemt systemen en daarop aanwezige data in gijzeling, waarna losgeld wordt geëist van de eigenaar. Ook verschillende productielocaties van Renault en Nissan zijn getroffen, waardoor de productie tijdelijk moest worden stilgelegd.
Ransomware is een vorm van kwaadaardige software die data en systemen in gijzeling neemt door deze te versleutelen. In veel gevallen wordt deze kwaadaardige software verspreid via e-mail als bijlage. Indien een werknemer deze bijlage opent, wordt diens systeem besmet met ransomware. Deze software versleutelt alle data op het systeem en verstuurt de sleutel die hierbij wordt aangemaakt naar een server die in handen is van cybercriminelen. Deze criminelen eisen vervolgens losgeld van slachtoffers die hun systemen en data weer toegankelijk willen maken.
De WannaCry ransomware wist zich fors sneller te verspreiden dan doorgaans het geval is bij ransomware; in een periode van twaalf uur werden enkele tienduizenden systemen besmet. Dit is mogelijk doordat de aanvallers misbruik hebben gemaakt van een beveiligingsprobleem in het besturingssysteem Microsoft Windows. Het probleem zit in Server Message Block (SMB), een netwerkprotocol dat door Windows wordt gebruikt om bestandsuitwisseling tussen meerdere computers mogelijk te maken. Door deze kwetsbaarheid uit te buiten kon de ransomware zichzelf verspreiden naar andere systemen die zijn aangesloten op het bedrijfsnetwerk.
De schattingen van het aantal slachtoffers van WannaCry lopen op tot 200.000 slachtoffers. Niet alleen burgers, maar ook bedrijven zijn getroffen. Zo bevestigt een woordvoerder van Renault tegenover persbureau Reuters dat het bedrijf is getroffen door de ransomware WannaCry. Om verder verspreiding van het computervirus te voorkomen zag het bedrijf zich genoodzaakt de productie in verschillende fabrieken tijdelijk stil te leggen. De productie werd maandag 15 mei grotendeels hervat. Een woordvoerder van Nissan meldt daarnaast aan de BBC dat systemen in een fabriek in het Britse Sunderland door de ransomware zijn besmet. Dit zou geen grote impact hebben gehad op de bedrijfsvoering van Nissan, aangezien er op het moment van besmetting geen productie plaatsvond in de fabriek.
Helaas is ransomware een veelvoorkomend fenomeen. Zo blijkt uit cijfers van beveiligingsbedrijf Trend Micro dat het aantal soorten ransomware dat bekend is in 2016 met maar liefst 752 procent is gestegen. Naar schatting heeft ransomware in 2016 bedrijven wereldwijd zo’n 1 miljard dollar aan schade opgeleverd. De aanval met WannaCry is dus geen eenmalig incident en slechts een voorbeeld van een aanval met ransomware. De aanval springt vooral in het oog door de zeer agressieve wijze waarop de kwaadaardige software zich wereldwijd wist te verspreiden.
Het feit dat WannaCry heeft weten door te dringen tot in fabrieken klinkt wellicht vreemd. In de praktijk maken echter veel systemen in allerlei sectoren gebruik van het besturingssysteem Windows. Aangezien de WannaCry ransomware misbruik maakt van een beveiligingsprobleem in het protocol SMB – dat standaard op Windows machines staat ingeschakeld – zijn ook deze systemen kwetsbaar voor de kwaadaardige software. Ook bedrijven buiten de automotive sector zijn in problemen gekomen. Zo zijn niet alleen Renault en Nissan getroffen door de recente uitbraak van WannaCry, maar ook onder andere een groot aantal Britse ziekenhuizen, het Nederlandse bedrijf Q-Park, het Amerikaanse logistieke bedrijf FedEx, het Russische ministerie van Binnenlandse Zaken en de Spaanse telecomprovider Telefonica.
Gelukkig kunnen gebruikers zich wel wapenen tegen dergelijke aanvallen. Zoals gezegd maakte de WannaCry ransomware misbruik van een beveiligingsprobleem in het SMB protocol van Windows. Dit probleem werd in maart door Microsoft, fabrikant van het besturingssysteem Windows, verholpen in de softwareupdate MS17-010. Wie deze update installeert, voorkomt hiermee dat de ransomware zich via het SMB-protocol kan verspreiden over zijn bedrijfsnetwerk. Dit betekent niet dat de ransomware niet op systemen terecht kan komen, aangezien dit ook mogelijk is indien een werknemers de ransomware handmatig opent. Wel verkleint dit de kans aanzienlijk dat dergelijke kwaadaardige software diep weet door te dringen tot in bijvoorbeeld fabrieken. Het is dus van cruciaal belang met grote regelmaat updates te installeren op alle systemen die binnen een bedrijf aanwezig zijn.
In de praktijk blijkt helaas dat lang niet alle bedrijven systemen up-to-date houden, waardoor WannaCry bij sommige organisatie vrij spel had. Zo maken sommige bedrijven gebruik van verouderde besturingssystemen, die niet langer worden ondersteund door de fabrikant. Voor deze besturingssystemen worden geen updates meer gemaakt, waardoor nieuw ontdekte beveiligingsproblemen niet worden verholpen. Dit speelt cybercriminelen in de kaart.
In veel gevallen is het gebruik van verouderde software en besturingssystemen overigens eenvoudig te verklaren. Zo maken sommige bedrijven gebruik van applicaties die op maat zijn ontwikkeld voor de organisatie, en alleen geschikt zijn voor specifieke versies van bijvoorbeeld Windows. Dit betekent in de praktijk dat systemen waarop deze applicaties draaien niet voorzien kunnen worden van de laatste versie van het besturingssysteem. Bedrijven zien zich hierdoor gedwongen te blijven werken met verouderde software, met alle risico’s van dien. Helaas is updaten de enige mogelijkheid om zeker te stellen dat beveiligingsproblemen worden gedicht en incidenten zoals die met WannaCry te voorkomen.
Daarnaast adviseren beveiligingsexperts bedrijven met grote regelmaat back-ups te maken van alle systemen en data. Indien systemen namelijk in gijzeling worden genomen door ransomware, is alle data versleuteld en kunnen bestanden niet meer worden geopend. Cybercriminelen bieden de mogelijkheid losgeld te betalen om deze data weer inzichtelijk te maken, maar zowel beveiligingsonderzoekers als de Nederlandse politie adviseren dit niet te doen. Zo biedt betaling geen enkele garantie dat cybercriminelen daadwerkelijk versleutelde bestanden weer toegankelijk maken. Wie een back-up heeft van zijn data kan besmette systemen volledig wissen, opnieuw installeren en de back-up terugplaatsen om gegijzelde data weer toegankelijk te maken.
Meer informatie over de WannaCry ransomware is te vinden bij de beveiligingsbedrijven FireEye of Symantec.
Door: Wouter Hoeffnagel