WannaCry speelde havoc met systemen over de hele wereld: wat kunnen we daar van leren?
Beeld: Reuters
De WannaCry uitbraak plaats ransomware in de mondiale schijnwerpers, het genereren van een wereldwijde dekking in de mainstream media, zoals de malware-epidemie vergrendeld overheden, ziekenhuizen, openbaar vervoer, fabrieken en meer uit hun computer systemen.
Dankzij de worm-achtige functies, WannaCry was in staat om snel verspreiden zich over een geïnfecteerde netwerk, gebruik te maken van een kwetsbaarheid in sommige versies van Windows. Meer dan 300.000 Windows-Pc ‘ s bezweken aan de ransomware voor de uitbraak kwam tot een einde toen een kill switch was ontdekt. Maar veel van schade al gedaan, met miljarden potentiële opbrengst verloren.
Dit alles werd veroorzaakt door een vrij eenvoudige vorm van ransomware die kwam om het leven na lukraak wordt vastgeschroefd op EternalBlue, een NSA-gebouwd exploiteren gelekt door hackers. Onderzoekers hebben gesuggereerd dat we geluk hebben dat die achter WannaCry lijken nogal amateuristisch, omdat een gladde bewerking met behulp van meer geavanceerde code zou kunnen hebben veroorzaakt veel meer schade.
Stel je voor als WannaCry was gekomen met Locky – of Cerber-graad van versleuteling…
Ransomware in de spotlight
Niettemin, de wereldwijde impact van WannaCry heeft gestoken ransomware in de openbare weergave op een ongekende manier, ondanks het genereren van $1 miljard in 2016 voor cybercriminelen.
“We hebben een hoek om; het is een ongelukkige realiteit dat het slecht nieuws om bewustzijn te creëren, maar het is een realiteit,” zegt Darren Thomson, CTO en vice president van Technologie bij Symantec, die merkt op dat de ‘echte wereld’, de impact van de uitbraak is wat heeft mensen te praten.
“De dag WannaCry gebeurd, op hetzelfde moment werd ik steeds meegedeeld door onze global intelligence ik was aan de teksten van mijn moeder die in het ziekenhuis was, die het niet kon inchecken omdat van het probleem”, zegt hij.
Dus wat is de volgende stap voor ransomware na de beruchte WannaCry? Immers, cybercriminelen zijn het ontwikkelen van nieuwe gezinnen van kwaadaardige code hele tijd.
Een security expert is van mening dat WannaCry, zelfs niet door het hebben van de mogelijkheid om de bestanden te openen van degenen die betaalde het losgeld, zou het begin van het einde voor ransomware, want het heeft verbroken de ‘trust-model’ van de strafrechtelijke regeling.
“Ransomware is een van de misdrijven die zich baseert op een ‘eerlijke’ crimineel’, zegt Rik Ferguson, VP Security Research bij Trend Micro.
“Het berust op het feit dat als je het losgeld betalen krijg je de data terug, en hoe meer het duidelijk wordt dat je het losgeld betalen en hoeft u niet steeds uw gegevens opnieuw, hoe minder kans je hebt om het losgeld te betalen.”
“Dat zou het grootste zilver-voering te doen met WannaCry; het kan hebben gedood de gans die legde het gouden ei van een strafrechtelijk perspectief,” zegt Ferguson.
Maar dat is misschien wishful thinking, want WannaCry was uniek en terwijl de security-industrie zal de mensen vertellen dat ze nodig hebben om extra voorzorgsmaatregelen te treffen, het publiek zal waarschijnlijk terug naar business as usual snel genoeg.
“Ik wil niet kopen dat de ransomware in het algemeen zal in het begin te zien van een verval vanwege de publiciteit van WannaCry,” zegt James Lyne, Global Head of Security Research bij Sophos.
“Ik zou graag denken dat dat betekent dat iedereen die heeft back-ups, iedereen is bereid om te volgen naar de ethiek van het niet betalen van cybercriminelen en maken het een misdaad niet loont. Ik zou het graag zien, maar het zal niet gebeuren.”
Zie ook: Hoe om jezelf te verdedigen tegen de WannaCrypt global ransomware aanvallen| Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
Meer geavanceerde ransomware
Als er iets, ransomware gaat om meer geavanceerde, moeilijker te decoderen met gratis tools, en worden de dingen erger worden voordat ze beter worden — voor genoeg mensen en organisaties leren om niet te betalen van losgeld, of om hun systemen te beschermen met back-ups.
“Ik denk dat we gaan door een periode van veel pijnlijker ransomware voordat dat gebeurt. Ik denk dat we nog steeds op de plaats van de druppel”, zegt Lynne.
“We gaan door een periode van ransomware auteurs hebben veel meer robuuste crypto, robuuste betaling kanalen, de dood van decodering tools die mensen helpen om hun gegevens terug zonder te betalen”.
En zelfs nu, ondanks een aantal ransomware-varianten wordt inherent slecht gebouwd, ransomware is werken omdat slachtoffers geven in losgeld eisen, met enkele cijfers suggereren dat maar liefst twee derde van de slachtoffers te betalen.
Als een resultaat, cybercriminelen weten dat ze kunnen wegkomen met het opladen van hoger losgeld eisen — geholpen door de uitdijende waarde van Bitcoin is de meest voorkomende vorm van valuta gebruikt voor het exploiteren van losgeld.
“De gemiddelde grootte van losgeld is verdrievoudigd in de afgelopen jaar, omdat het aanbod en de vraag. Als een crimineel kan meer kosten, omdat ze weten dat ze gaan op een rendement, zullen ze,” zegt Thompson.
Hij noemt het “zorgwekkend dynamische” vooral omdat “dit zou morgen sterven als mensen gestopt met betalen, want dan zou er geen rendement op de investering dan ook.”
“Een van de redenen waarom we zien zoveel mensen het betalen van losgeld is ze horen verhalen van andere mensen aangevallen die hebben hun gegevens terug. In het geval van WannaCry, ze wisten het niet, dus het zou duidelijk moeten zijn dat het betalen is nooit een goed idee,” voegt Thompson.
Echter, WannaCry, ondanks dat het enorme, nog net een uitbraak en lessen over het niet betalen gaat niet geleerd worden uit slechts een enkel incident.
“Als we hadden 30 WannaCrys voor het komende jaar en het bekend werd, dat u nooit uw gegevens ontsleuteld, over een lange periode van tijd en na veel pijn de dynamische zou beginnen te veranderen als mensen beginnen te stoppen met het betalen,” zegt Thomson, waarbij werd aangegeven dat deze een aantal catastrofale incidenten is onwaarschijnlijk.
Wees voorbereid
Dat is niet om iets te zeggen langs de lijnen van WannaCry niet terrorise de wereld in de nabije toekomst, met nieuwe stammen van het hebben gespot in het wild en het exploiteren achter het zelfs het voeden van Trojan malware. De volgende keer, het zou het werk van een veel meer professionele outfit.
“Deze overheid instanties hebben duidelijk offensieve wapens, zoals deze. Vergeet Niet Hacking Team? Ze een keer gehackt worden,” zegt Marcin Kleczynski, CEO van Malwarebytes.
“Ze had wel tien exploits; tien echt goed exploits die ze verkocht aan de hoogste bieder. In de verkeerde handen krijgen ze weaponised en gebruikt voor een ransomware-aanval of verstoring in plaats van spionage.”
Dat betekent dat toekomstige ransomware aanvallen zoals WannaCry erg veel op de kaarten. “Mijn hypothese is dat we zien twee of drie van deze aanvallen van dit jaar-als het niet meer”, zegt hij.
Gegeven hoe onvoorbereid veel organisaties om te gaan met zelfs de meest elementaire ransomware aanvallen, dit kan mogelijk een ramp voor sommige.
“Als de mensen niet voorkomen dat de impact door proactief voorbereiden met de juiste security controls, patches en back-ups, dan gaan we nog veel meer mensen in posities van onherstelbare verlies van gegevens als ze niet betalen”, zegt Lynne.
Maar misschien, heel misschien, de bekendheid van WannaCry kon geven sommige organisaties die extra push die ze nodig hebben om ervoor te zorgen dat ze beschermd zijn tegen toekomstige ransomware aanvallen.
“Mensen zijn zich ervan bewust dat, zelfs als ze het losgeld betalen er is geen garantie dat ze krijgen in hun gegevens terug, en dat ze hebben om zich te concentreren op andere vormen van herstel en mitigatie van deze soorten aanvallen”, zegt Ferguson, met het argument dat de reguliere dekking van de uitbraak heeft geduwd ransomware buiten de security-industrie.
“Hopelijk mensen gaan tot het betalen van een beetje meer aandacht voor vulnerability management, patch management, legacy-systemen”, zegt hij. “Ik denk dat er een heleboel goede dingen die gaan komen uit WannaCry”.
LEES MEER OVER RANSOMWARE
Ransomware aanvallen: Hoe vervelend werd een wereldwijde threatMicrosoft waarschuwt van ‘destructieve cyberaanvallen,’ geeft nieuwe Windows XP patches Hackers achter gestolen NSA tool voor WannaCry: Meer lekken [CNET]3 best practices voor het beschermen van jezelf tegen WannaCry en andere ransomware aanvallen niet de zwakke schakel dat brengt ons allemaal neer op: Houdt uw OS bijwerken en up-to-date [TechRepublic]