WannaCry Ransomware en de NHS aanval

WannaCry Ransomware en de NHS aanval

Ransomware blijft wereldwijd escaleren en is gericht op essentiële diensten in onze samenleving. De NHS aanval is vooral vernietigend geweest voor het Verenigd Koninkrijk, waarbij patiëntgegevens onbeschikbaar waren, operaties zijn uitgesteld en ambulances zijn omgeleid naar andere ziekenhuizen in het Verenigd Koninkrijk. Zonder de beschikbaarheid van patiëntgegevens en essentiële data, hadden ziekenhuizen geen andere keus dan op grote schaal patiënten weg te sturen. Ziekenhuizen zijn in toenemende mate doelwit geworden de afgelopen tijd, vanwege het groot aantal kwetsbare systemen in deze instellingen. Zij betalen het losgeld ook zoals in het geval van het Hollywood Presbyterian Medical Center afgelopen jaar.

Wat vooral bijzonder interessant is aan deze aanval, dat het gebruik heeft gemaakt van een kwetsbaarheid, dat was ontdekt en ontwikkeld door het Amerikaanse  National Security Agency (NSA) en recentelijk gelekt door een groep genaamd the shadow brokers. Deze groep lekte een aantal belangrijke technieken en methoden, die door de NSA werden gebruikt om computers en mobiele apparaten over te nemen of af te luisteren. Te zwakke beveiligingsprotocollen en systemen bij veel van die ziekenhuizen stonden toe dat de ransomware snel werd verspreid, in dit geval via encrypted email bijlagen.

Hoe werkt het?

Zodra de ransomware is geïnstalleerd op een computer, wordt het uitgevoerd op de lokale machine en legt het contact met een vreemde server om andere applicaties(payloads) te downloaden en deze te activeren. Daarna start het versleutelen van alle bestanden op je harde schijf. Vervolgens verschijnt er een popup met een betalingsverzoek voor het terugdraaien van de versleutelde bestanden. En als je dan het losgeld niet betaalt, kunnen de bestanden worden vernietigd door de hackers.

WannaCrypt (WannaCry)

De aanval op de NHS UK was bijzonder ernstig en snel en nam slechts 4 uur in beslag om te verspreiden over het gehele NHS netwerk. Van origine infecteerde het in eerste instantie systemen van Telefonica in Spanje. Deze ransomware staat bekend als WannaCrypt of WannaCry en is een variant op WeCry, dat is ontdekt in februari 2017. Het infecteert alle op Microsoft Windows gebaseerde computer systemen. Er zijn nog geen MacOS varianten bekend.  Verschillende rapporten maken melding van dat Microsoft Windows in eerste instantie is geïnfecteerd via email en dat Wannacry vervolgens is verspreid via het NHS netwerk. Daarbij maakte het gebruik van zogenaamde SMB shared drives in deze gehele organisatie. Microsoft is al op de hoogte van deze kwetsbaarheid sinds maart 2017 en heeft een beveiligingsupdate beschikbaar gesteld om dit probleem op te lossen. Veel mensen en bedrijven lijken deze dringende adviezen echter niet op te volgen.

Eerste indicaties wijzen erop dat de oorsprong van de aanval uit China komt, maar daarvoor is onvoldoende bewijs.

Wij bevestigen nu dat deze ransomware Windows computers in tenminste 150 landen wereldwijd heeft geïnfecteerd, dat er 200.000 individuele gevallen zijn gerapporteerd en meer dan 10.000 bedrijven waren betrokken op 14 mei 2017 ,14:00 uur.

Live Feed van de aanval hier beschikbaar.

Analyse van de aanval

Nadat de initiele payload op je computer staat, zal de applicatie de “tor.exe” downloaden inclusief alle afhankelijkheden. Zodra die zijn gedownload zal het hoofdprogramma in staat zijn om anoniem te communiceren met zijn command en control servers.

Zodra gestart zal het proberen om de toegangsrechten van alle wannacry bestanden te veranderen, om toegang te krijgen tot je gehele computer. Volgens Kapersky is de volgorde als volgt:

  • icacls . /grant Everyone:F /T /C /Q
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • @WanaDecryptor@.exe fi
  • 300921484251324.bat
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe

Vervolgens zal het (typerend voor veel ransomware varianten) de Volume Shadow Service uitschakelen, zodat je niet in staat bent om te herstellen van de encryptie via het uitvoeren van instructies in de command line.  Er zal dan een User Account Control (UAC) popup verschijnen dat dit niet is toegestaan. Ga er dan maar echt vanuit dat dit niet ok is en trek zo snel mogelijk de netwerkkabel uit je computer en/of sluit de wifi verbinding af.

Daarna zal het namelijk contact leggen met de anonieme server en het encrypten van al jouw bestanden begint.

Koop nu voor slechts 35 euro!
2017-05-18T14:26:28+01:00mei 15th, 2017|Categorieën: Nieuws|Tags: |