Wat is WannaCry?

Een wijdverspreide ransomwarecampagne die organisaties over de hele wereld treft. Meer dan 125.000 organisaties in meer dan 150 landen zijn getroffen.
De ransomware-stam is ook bekend als WCry of WanaCrypt0r en is momenteel van invloed op Windows-machines via een Microsoft-uitbuiting die bekend staat als EternalBlue.

Hoe werkt WannaCry?

Net als andere vormen van ransomware wordt de malware gewoonlijk verspreid via phishing-e-mails, waardoor gebruikers worden gevraagd het bestand onbewust te downloaden en hun gegevens te versleutelen. Slachtoffers ontvangen een losgeldvraag in Bitcoins gelijk aan ongeveer $300.
WannaCry gebruikt SAMBA om op afstand verbinding te maken en hun malware toe te voegen aan de uitgebuite machine. Zodra WannaCry het netwerk heeft bereikt, kan het zich als een worm verspreiden. Als het losgeld niet wordt betaald, neemt het na een paar dagen toe en na een iets langere tijd wordt het decoderingsalgoritme verwijderd en gaan gegevens verloren.

Er is niet te zeggen wat er met de gegevens wordt gedaan. Het kan gewoon worden verwijderd, of het kan worden verkocht via het Dark Web, keylogging-programma’s worden geïnstalleerd op geïnfecteerde machines om wachtwoorden en andere belangrijke informatie te verzamelen.

Wat is de impact van WannaCry?

De gevolgen voor bedrijven die besmet zijn met WannaCry ransomware kunnen zijn:

• Tijdelijk of permanent verlies van gevoelige of bedrijfseigen informatie
• Verstoring van bedrijfsactiviteiten
• Financiële verliezen opgelopen om systemen en bestanden te herstellen
• Potentiële schade aan de reputatie van het merk

Komt er nog een aanval?

De eerste aanval, die plaatsvond op 12 mei, is vertraagd dankzij een killswitch die is ontdekt door een Britse onderzoeker. Cybersecurity-experts waarschuwen echter dat een tweede aanval op handen is met een bijgewerkte versie van WannaCry.

Wie is er getroffen?

De aanval heeft organisaties in meer dan 150 landen getroffen. Belangrijke organisaties zijn getroffen, waaronder FedEx, Nissan, telecombedrijven en nutsbedrijven in Spanje, en 61 NHS-organisaties in het Verenigd Koninkrijk.

Wat zijn de aanbevolen stappen voor preventie?

Het Amerikaanse ministerie van Binnenlandse Veiligheid adviseerde de volgende voorzorgsmaatregelen:

Pas de patch van Microsoft voor het MS17-010 SMB-beveiligingslek van 14 maart 2017 toe.
Schakel sterke spamfilters in om te voorkomen dat phishing-e-mails de eindgebruikers bereiken en inkomende e-mail verifiëren met behulp van technologieën zoals Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) en DomainKeys Identified Mail (DKIM) om e-mailspoofing te voorkomen.
Scan alle inkomende en uitgaande e-mails om bedreigingen te detecteren en filter uitvoerbare bestanden om de eindgebruikers te bereiken.
Zorg ervoor dat antivirus- en antimalware-oplossingen zijn ingesteld om automatisch regelmatige scans uit te voeren.
Beheer het gebruik van geprivilegieerde accounts. Implementeer het principe van het minste voorrecht. Aan geen enkele gebruiker mag administratieve toegang worden verleend, tenzij dit absoluut noodzakelijk is. Degenen die beheerdersaccounts nodig hebben, zouden deze alleen moeten gebruiken als dat nodig is.
Configureer toegangscontrole inclusief bestands-, map- en netwerkshare-machtigingen met het minste privilege in gedachten. Als een gebruiker alleen specifieke bestanden hoeft te lezen, moet deze geen schrijfrechten hebben voor die bestanden, mappen of shares.
Schakel macrascripts uit vanuit Microsoft Office-bestanden die via e-mail zijn verzonden. Overweeg om Office Viewer-software te gebruiken om Microsoft Office-bestanden te openen die via e-mail worden verzonden in plaats van volledige Office-suite-applicaties.
Ontwikkel, installeer en beoefen medewerkerseducatieprogramma’s voor het identificeren van zwendel, kwaadaardige links en poging tot social engineering.
Zorg voor regelmatige penetratietests tegen het netwerk. Maar liefst één keer per jaar. Idealiter zo vaak mogelijk / praktisch.
Test uw back-ups om te zorgen dat ze correct werken na gebruik.
Windows-gebruikers moeten ervoor zorgen dat hun software up-to-date is en de nieuwste patch van Microsoft installeren. Microsoft heeft uiteengezet hoe individuen en bedrijven beschermd kunnen blijven in een blog met klantbegeleiding.

Maak een back-up van elk eindpunt in de omgeving. Hoewel het belangrijk is om uw besturingssystemen, antivirussoftware, inbraakpreventie en preventieprocedures bij te werken, loopt uw bedrijf altijd risico. Dus als malware muteert om die preventieve maatregelen te omzeilen, zorg dan voor een manier om weer gezond te worden.

Wat moet ik doen als WannaCry op mijn computer staat?

We raden u ten zeerste aan contact op te nemen met een lokale IT-serviceprovider of uw IT-afdeling en ze te laten proberen terug te zetten naar een eerdere versie van uw machine of SaaS-gegevens. Het is volledig afhankelijk van het type gegevens en waar de gegevens worden opgeslagen als het mogelijk is om te herstellen met de juiste procedures.

Terwijl uw IT-professionals werken, moet u contact opnemen met de ordehandhaving. Het Amerikaanse ministerie van Binnenlandse Veiligheid adviseert u sterk om bij ontdekking contact op te nemen met een lokaal FBI-veldkantoor om een inbraak te melden en om assistentie te vragen. Behoud en verstrek relevante logboeken.

Als u een IT-professional bent die ransomware behandelt en Datto gebruikt voor de gegevens van uw klant, zijn we er om u te helpen herstellen. We zijn 24/7/365 open en zijn toegewijd om ervoor te zorgen dat u en uw klanten weer productief zijn.

Wie zit er achter de aanval?

Specifieke aanstichters zijn nog niet geïdentificeerd, de National Security Agency (NSA) heeft in eerste instantie de kwetsbaarheid ontdekt en die informatie is door hackers gestolen en online gepubliceerd.