Stokoude browsers ondersteunen wij niet. Werk uw browser bij als u de inhoud van deze pagina goed wilt zien.

U twijfelt over de juiste oplossing voor uw bedrijf?

Wat is WannaCry-ransomware?

WannaCry-ransomware kan uw bestanden, mappen en toepassingen versleutelen, waardoor ze niet meer toegankelijk zijn totdat u het “losgeld” hebt betaald. Het aantal ransomwareaanvallen op bedrijven blijft groeien. Daarom is het goed om te weten wie WannaCry heeft ontwikkeld, hoe het netwerken infecteert en hoe u uw systemen tegen dergelijke aanvallen kunt beschermen.

Wat zijn WannaCry-ransomwareaanvallen?

WannaCry is een soort ransomware, een vorm van malware waarmee gegevens worden versleuteld. Dit kunnen zowel specifieke bestanden als hele computersystemen zijn. Voor het ontsleutelen ervan wordt losgeld geëist. WannaCry infecteert apparaten door misbruik te maken van een zwakke plek in Windows-software en richt wijd en zijd grote financiële schade en reputatieschade aan.

WannaCry is ontwikkeld op basis van de exploitcode EternalBlue, die door cyberhackgroep The Shadow Brokers werd gestolen van het Amerikaanse Nationaal Veiligheidsagentschap (NSA, National Security Agency). De groep gebruikte de exploit om niet-gepatchte of verouderde Windows-besturingssystemen aan te vallen. Hoewel Microsoft patches had uitgebracht om zijn software te versterken, hadden veel organisaties nagelaten deze updates te installeren. Daardoor konden hackers misbruik maken van deze zwakke plekken en aanvallen uitvoeren.

Op 12 mei 2017 vond een van de grootste WannaCry-ransomwareaanvallen tot nu toe plaats. In één dag werden meer dan 230.000 Windows-computers in meer dan 150 landen aangevallen. Daarbij raakten bedrijven, overheidsinstellingen en medische faciliteiten geïnfecteerd. Onder de getroffen bedrijven bevonden zich grote namen als Telefonica, Deutsche Bahn, LATAM Airlines Group, FedEx en de automobielbedrijven Hitachi, Renault en Honda.

Ook de Britse NHS (National Health Service) was een van de vele getroffen gezondheidsdiensten omdat er geen patches voor Windows-software waren geïnstalleerd. Daardoor werden meerdere systemen versleuteld en waren ze niet meer toegankelijk. De aanval richtte wereldwijd voor miljarden dollars schade aan en is een van de grootste ransomwareaanvallen tot dusver.

Uiteindelijk werd de WannaCry-ransomwareaanval tot staan gebracht door cyberbeveiligingsexpert Marcus Hutchins. Nog diezelfde maand bedacht hij een domeinnaam waarmee de opmars van de malware zowaar kon worden gestopt en verhinderde hij pogingen om deze te verwijderen.

Gelukkig zien veel bedrijven inmiddels in hoe belangrijk het is geregeld patches te installeren, maar er zijn talloze methoden in omloop waarmee toegang tot bedrijfssystemen kan worden verkregen. Er zijn diverse redenen waarom ransomware een groot gevaar blijft:

  • Het kan grote financiële schade en reputatieschade aanrichten
  • De downtime van een bedrijf na een ransomwareaanval bedraagt gemiddeld 21 dagen
  • Het kan uw bedrijf voor nalevingsproblemen stellen en tot strafmaatregelen leiden.

Wie heeft WannaCry bedacht?

Hoewel The Shadow Brokers de EternalBlue-exploitcode van de NSA hebben gestolen, hebben andere hackersgroepen de code verder ontwikkeld en geschikt gemaakt om systemen mee aan te vallen. De Britse en de Amerikaanse overheid hebben sindsdien verklaard ervan uit te gaan dat de Noord-Koreaanse hackersgroep The Lazarus Group achter WannaCry zit.

In februari 2021 bevestigde het Amerikaanse ministerie van Justitie dat drie Noord-Koreaanse computerprogrammeurs zijn aangeklaagd voor het ontwikkelen en distribueren van WannaCry-ransomware, het afpersen van slachtoffers en het stelen van vertrouwelijke gegevens.

Hoe infecteert WannaCry netwerken?

WannaCry-ransomware spoort zwakke plekken in Windows-besturingssystemen op met behulp van de EternalBlue-exploitcode. Hierbij wordt getracht toegang te verkrijgen tot het SMB-protocol (Server Message Block). Als dat lukt, kunnen hackers de hand te leggen op gedeelde bestanden en services gebruiken, bestanden versleutelen en vervolgens om de betaling van losgeld vragen. WannaCry lijkt in veel opzichten op Phobos, een oudere vorm van ransomware waarmee naar onbeschermde RDP-poorten (Remote Desktop Protocol) wordt gezocht.

Bij een WannaCry-aanval stuurt de exploit een SMB Echo-aanvraagcode naar het SMB-protocol (Server Message Block) dat het doel van de aanval is en dat op Microsoft Windows-apparaten wordt gebruikt. Als de aanvraag niet wordt beantwoord, wordt een achterdeurtje (backdoor) tot stand gebracht (een manier om het systeem binnen te dringen zonder dat om verificatie en autorisatie wordt gevraagd).

Met behulp van het backdoormalwareprogramma DoublePulsar (waarmee de WannaCry-ransomware wordt uitgevoerd) kunnen hackers een verbinding tot stand brengen om informatie te downloaden of malware (zoals WannaCry-ransomware) in te brengen in het systeem.

Op die manier kunnen hackers een verbinding tussen de SMB-protocollen (TCP-poort 445) of de RDP-protocollen (TCP-poort 3389) opzetten en een APC-aanroep (Asynchronous Procedure Call) uitvoeren. Via deze stap kan het hulpprogramma een DLL-bestand vrijgeven in de Local Security Authority Subsystem Service (Lsass.exe), de service die het beveiligingsbeleid van Windows-besturingssystemen afhandelt en zaken bestrijkt als wachtwoordwijzigingen, verificatieservices en de replicatie van programma's. Vervolgens kan er shellcode in deze systemen worden ingebracht. Dit wordt ook wel “heap spraying” genoemd. Daarnaast kan de bestaande backdoorcode worden verwijderd.

Zodra WannaCry-ransomware één apparaat is binnengedrongen, begint het als een soort worm ook het netwerk te scannen op andere apparaten waarop vergelijkbare niet-gepatchte of verouderde software is geïnstalleerd of die zwakke plekken bevatten. Vervolgens wordt de schadelijke ransomwarecode op deze apparaten gerepliceerd.

In tegenstelling tot veel andere typen ransomwareaanvallen maakt WannaCry-ransomware zijn aanwezigheid kenbaar door een bericht zoals hieronder weer te geven en betaling van losgeld te eisen.

Zodra uw apparaten zijn geïnfecteerd kunt u alleen nog toegang tot uw bestanden verkrijgen door een externe back-up van uw bestanden en mappen terug te zetten (als u die ten minste hebt) of door het losgeld te betalen. Dit wordt echter afgeraden, want er is geen garantie dat de toegang tot uw besturingssystemen zal worden hersteld.

Windows-patches

Na de WannaCry-ransomwareaanvallen in 2017 heeft Microsoft noodbeveiligingspatches ontwikkeld voor alle Windows-systemen, waaronder Windows XP, Windows Vista, Windows 8 en eerdere edities van Windows Server. In een verklaring deelde Microsoft mee dat klanten die automatische updates hebben ingeschakeld, zullen worden beschermd, maar dat klanten met handmatige update-instellingen worden “aangemoedigd om de update zo snel mogelijk te installeren”.

Ransomwareaanvallen blijven zich ontwikkelen, komen steeds vaker voor en worden steeds geraffineerder. Daarbij neemt volgens het Amerikaanse National Security Institute ook de hoogte van het gevraagde losgeld toe, van gemiddeld 5.000 dollar in 2018 tot rond de 200.000 dollar in 2020. In 2021 betaalde een verzekeringsbedrijf 40 miljoen dollar, een nieuw wereldrecord voor het hoogste ransomwarebedrag.

Malware blijft een lucratieve business voor cybercriminelen en er zijn maar heel weinig ransomwarevarianten waarvoor openbare ontsleutelingscodes voorhanden zijn. Dit betekent niet alleen dat het verwijderen van ransomware van uw pc en bijbehorende apparaten heel ingewikkeld is, maar bovendien dat er geen enkele garantie is dat u uw bestanden kunt herstellen (zelfs als uw bedrijf het losgeld heeft betaald). Het is daarom van het allergrootste belang al het nodige te doen om ransomwareaanvallen te voorkomen, zoals het installeren van softwarepatches. Op die manier zorgt u ervoor dat uw bedrijf tegen toekomstige cyberaanvallen wordt beschermd.

Is WannaCry nog steeds actief?

De WannaCry-aanval van mei 2017 kon met een kill switch worden gestopt en Microsoft heeft daarna meteen een patch uitgebracht om kwetsbare besturingssystemen te beschermen tegen de EternalBlue-exploit. Toch blijft de ransomware een actieve dreiging.

Hackersgroepen blijven WannaCry bijwerken en voor bedrijven gaat er nog steeds een grote dreiging vanuit. Geraffineerde ransomwarevarianten, zoals Petya en NotPetya, zijn geïnspireerd op WannaCry en bieden soortgelijke mogelijkheden door in Windows-toepassingen naar dezelfde zwakke plekken te zoeken. Ook het aantal organisaties dat wereldwijd ten prooi is gevallen aan ransomwareaanvallen is gestegen, van 55,1% in 2018 tot 68,5% in 2021.

Gezien de vele dreigingen in het cyberbeveiligingslandschap is de installatie van hulpprogramma's voor ransomwarebescherming van levensbelang.

Ransomwareaanvallen voorkomen

Het is van het allerhoogste belang actieve maatregelen te treffen om uw bedrijf tegen ransomwareaanvallen te beschermen en uw digitale bedrijfsmiddelen te beveiligen:

  • Volledige, regelmatige netwerkinspecties: Neem uw bedrijfsactiviteiten regelmatig onder de loep door onder meer evaluaties van zwakke plekken uit te voeren waarbij uw netwerk, met het netwerk verbonden apparaten en toepassingen worden gescand op zwakke plekken in de software die tot een aanval of gegevensschending kunnen leiden.
  • Bewustzijnstraining over cyberbeveiliging: Beveiligingsstrategieën moeten ook cyberbeveiligingstraining omvatten. Deze training heeft tot doel het bewustzijn van werknemers te vergroten over algemene aanvalsvectoren, zoals e-mailberichten uit onbekende bron, phishing-pogingen of bijlagen die mogelijk een Trojaans paard bevatten.
  • Wachtwoordbeleid: Door de invoering van een wachtwoordbeleid moeten medewerkers worden aangemoedigd om sterke wachtwoorden te gebruiken die uw organisatie beschermen tegen externe dreigingen. Daarnaast kan op rollen gebaseerd toegangsbeheer worden gebruikt om gegevens en vertrouwelijke bestanden te beschermen.
  • Uw besturingssysteem en toepassingen bijwerken: Het is van essentieel belang dreigingen te voorkomen die uw bedrijf kunnen treffen en belangrijke bestanden en toepassingen te beveiligen. Regelmatige systeemupdates en de installatie van hulpprogramma's die automatisch patches installeren voor eventuele zwakke plekken in de software mogen hierbij niet ontbreken.

Uw systemen beschermen tegen WannaCry-ransomwareaanvallen

Sinds 2017 heeft Avast al meer dan 170 miljoen WannaCry-ransomwareaanvallen geblokkeerd. Maak kennis met onze eenvoudige maar krachtige beveiligingsprogramma's in Small Business Solutions waarmee u uw apparaten en gegevens kunt beschermen tegen malware, phishing, ransomware en andere geavanceerde cyberaanvallen.

Sluiten

Bijna klaar!

Voltooi de installatie door op het gedownloade bestand te klikken en de instructies te volgen.

Download starten...
Opmerking: Als niet automatisch met downloaden wordt begonnen, klikt u hier.
Klik op dit bestand om de installatie van Avast te starten.