WannaCry: Wat leren we van ervan?

Jean HuveneersBlog0 Comments

WannaCry bij DB

Afgelopen vrijdag, 12 mei 2017, is de wereld weer opgeschrikt door een grote Ransomware aanval genaamd WannaCry. Dit na een periode van enkele maanden waarin het fenomeen Ransomware fors terug leek te lopen. Wat leren we hiervan?

Wat is er gebeurt?

Op vrijdag ochtend is de verspreiding van een nieuwe ransomware door criminelen gestart. Deze is door de beveiliginsonderzoekers WannaCry gedoopt. De initiële verspreiding vond plaats door middel van e-mails. Gelukkig hebben redelijk veel spam- en virusfilters deze kwaadaardige e-mails snel herkend en daarmee de verspreiding geremd.

WannaCry doet echter meer dan alleen de PC van de ontvanger van de e-mail gijzelen. Het gaat ook nagenoeg direct op zoek naar Windows computer en servers die nog niet voorzien zijn van een patch die Microsoft in maart heeft vrijgegeven. Deze patch, voor de actueel ondersteunde moderne versies van Windows, dicht een oud lek. Dit lek is bekend geworden door de recent gelekte NSA documenten. Systemen die de patch niet hebben worden snel gevonden en eveneens geïnfecteerd. Deze systemen gaan op hun beurt ook weer op zoek, etc. Een wereldwijde explosie aan infecties is het resultaat. (Analyse Fox-IT)

De held van de dag is een Engelse beveiligingsonderzoeker en blogger bekend als malwaretech die bij de analyse van de code een niet geregisterde domeinnaam tegenkomt en deze snel zelf registreert. Zonder het op dat moment zelf al te weten stopt hij daarmee wereldwijd het actief worden van de ransomware. (MalwareTech)

Voor duizende bedrijven en particulieren kwam dit echter te laat. In zeker 99 landen zijn er infecties gemeld. Van particulieren tot hele ziekenhuizen in het Verenigd Koninkrijk en systemen van bedrijven zoals Deutsche Bahn, Telefonica, QPark en Renault. De schade loopt uiteen van lichte hinder tot het compleet stil moeten leggen van de productie.

Hoe kon dit gebeuren?

De oplossing die het grootste deel van infecties had kunnen voorkomen was sinds bijna 2 maanden al beschikbaar. Twee maanden is echter in veel (grote) bedrijven een te korte periode om een dergelijke update te verifiëren, testen en implementeren. Zeker in omgevingen zoals de proces industrie of gezondheidszorg waar systemen, met goede redenen, onderworpen zijn aan validatie processen. Ook is men hier vaak afhankelijk van toestemming van een hard- of software leverancier. Deze testen eerst of hun oplossing nog wel correct werkt na installatie van de update. Als je daarbij bedenkt dat het bijvoorbeeld om de aansturing van een kerncentrale of een hart-long-machine kan gaan is dat best te begrijpen. Het spel tussen snelheid, veiligheid en stabiliteit is moeilijk en de tijdsdruk wordt steeds hoger. Dat gaat vroeg of laat een keer mis. Het blijft (nog) mensenwerk.

Wat wel verwijtbaar en schokkend is, is dat er blijkbaar ook nog steeds heel veel gebruik gemaakt wordt van Windows versies die al geruime tijd niet meer door Microsoft ondersteunt en onderhouden worden. Denk hierbij aan het ruim 16 jaar oude Windows XP of de al bijna net zo oude Windows Server 2003. Het was bekend dat deze Windows versies ook de door de NSA misbruikte bug bevatten, maar Microsoft heeft voor deze versies, conform hun beleid, in maart geen update vrijgegeven. Net zoals voor andere ondertussen bekende bugs/lekken in deze versies geen updates zijn vrijgegeven. Vrijdag is Microsoft wel door de knieën gegaan en heeft alsnog updates vrijgegeven voor een aantal oudere versies van Windows die wel nog klant specifiek ondersteund werden. De updates lagen dus klaar op de plank en waren tot nu toe alleen aan klanten die daar extra voor betalen verstrekt. Dit zal nog wel de nodige discussie rondom het beleid van Microsoft hieromtrent losmaken.

Wat leren we van WannaCry?

Allereerst mag dit als een laatste waarschuwing gezien worden voor iedereen die nog oude software versies gebruikt. En dan heb ik het dus bewust niet alleen over Windows.
Daarnaast is de schaal en snelheid waarmee IT systemen slachtoffer kunnen worden schrikbarend. En dan hebben we nu nog te maken gehad met het misbruik van een bekend lek waar al een oplossing voor beschikbaar was. Dit lek was echter al jaren bekend bij de NSA. Wat was er gisteren gebeurt als er geen lek geweest was bij de NSA en Microsoft dit lek dus nog niet gedicht had?
Segregatie van netwerken, het opdelen van netwerken in verschillende segmenten die voor specifieke gebruikersgroepen of applicaties ingericht worden, is een effectief middel om de verspreiding van dergelijke infecties tegen te houden.
Omdat er geen 100% veiligheid bestaat is een offline back-up, die gebruikt kan worden om de omgeving in het uiterste noodgeval te herstellen, essentieel.
Ook is nu weer gebleken dat vaak toch de gebruiker de zwakste schakel is. Het uit nieuwsgierigheid toch openen van een e-mail of bestand dat niet 100% legitiem lijkt kan een heel bedrijf platleggen. Bewustwording en training van gebruikers zou er voor kunnen zorgen dat ze niet de zwakste schakel zijn, maar net een laatste redmiddel als alle andere beveiligingssystemen al gefaald hebben.
De professionaliteit van WannaCry is ook schrikbarend. Zo ondersteunt het meer dan 25 talen waaronder Nederlands. We kunnen waarschijnlijk alleen maar van geluk spreken dat er geen grotere incidenten in Nederland gemeld zijn.

Wat gaan wij doen?

Ondanks dat wij er ook deze keer ongeschonden door gekomen zijn, hebben we verbeterpunten erkend die we gaan meenemen in het onderhoud en ontwerp van de infrastructuren die we beheren.

Wat kunt u doen tegen Ransomware?

  • Ga na of u nog oude (Windows) systemen in gebruik hebt en zorg dat u deze zo snel mogelijk vervangt.
  • Controleer uw back-up strategie, zie ook ons eerder blog artikel.
  • Test uw gebruikers. Hoe goed herkennen uw medewerkers verdachte zaken? Melden ze die ook?
  • Zijn minimale beveiligingsmaatregelen zoals antivirus, UTM-Firewall, spam- en virusfiltering en beperking van installatierechten up-to-date en juist geconfigureerd?
  • Zelf niet voldoende kennis en kunde? Zoek een passende partner!

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *