WannaCry: dit moeten bedrijven weten

  • Deel dit artikel:

De afgelopen dagen stonden de nieuws-rubrieken er vol van: het virus WannaCry. Het begon vrijdagavond met horrorverhalen uit Groot-Brittannië waar computers van de nationale gezondheidszorg werden geïnfecteerd met ransomware. Inmiddels heeft het virus met de naam WannaCry zich over de hele wereld verspreid; in Nederland werden de parkeergarages van Q-Park geïnfecteerd. Hoe kun je je als bedrijf tegen deze malware wapenen?

Ransomware WannaCry

WannaCry (ook bekend als WannaDecryptor 2.0) is een klassieke ransomware die alle bestanden op besmette computers versleutelt, zodat dat jij de toegang tot je eigen gegevens verliest. Om de versleuteling ongedaan te maken, vragen de makers van WannaCry losgeld. Na de eerste melding van het virus heb je nog een week de tijd om 300 dollar (600 dollar als je drie dagen wacht) in bitcoin over te maken, daarna zijn je bestanden voor altijd versleuteld. Het verschil met eerdere ransomware is dat het virus zich via netwerken verspreidt: hij valt automatisch alle bereikbare Windows-computers aan.

Bedrijven overal ter wereld getroffen

In Groot-Brittannië viel WannaCry talloze computers van de National Health Service (NHS) aan. Operaties werden uitgesteld en patiënten werd naar andere klinieken gestuurd. In totaal werden er 99 landen getroffen. Frankrijk werden fabrieken van Renault aangevallen die daardoor in het weekend gesloten werden. In Spanje en Portugal waren de providers Telefónica en Telecom het slachtoffer, in Duitsland de nationale spoorwegmaatschappij Deutsche Bahn. En in Nederland was Q-Park het grootste slachtoffer.

Zo dringt WannaCry bij bedrijven binnen

Tot dusver lijkt het erop dat WannaCry op twee manieren bij bedrijven binnendringt. Enerzijds is dat – zoals gebruikelijk bij ransomware – via e-mail: er hoeft maar één medewerker op een verkeerde link te klikken en de ransomware kan zichzelf installeren. Onder meer Deutsche Bahn heeft bevestigd dat de aanval begon met een mailtje. Nadat een systeem geïnfecteerd is, probeert het virus meteen om andere computers in hetzelfde netwerk aan te vallen. Hiervoor gebruikt WannaCry een lek in SMB, het protocol voor het delen van bestanden onder Windows. Dit veiligheidslek werd al eerder openbaar gemaakt door de hackergroep Shadow Brokers en staat bekend als EternalBlue.

Updates van Microsoft 

Microsoft heeft het lek al in maart met een veiligheidsupdate gedicht. Dergelijke updates levert de softwaregigant echter alleen voor de actief ondersteunde Windows-versies. Oudere Windows-versies bleven dus onveilig – waaronder Windows XP en Windows Server 2003. Kort na de uitbraak van WannaCry heeft Microsoft toch nog updates voor de oude systemen uitgebracht.

Wat bedrijven moeten doen

Voor gebruikers en bedrijven is het altijd zaak om alle veiligheidsupdates zo snel mogelijk te installeren. Heb je Microsofts security-update MS17-010 nog niet geïnstalleerd, dan moet je dat nu absoluut doen. Dat geldt dus ook voor de niet meer ondersteunde Windows-versies zoals XP. Maar voor het geval dat er binnen je bedrijf nog computers met Windows XP actief op het netwerk gebruikt worden, is het nu echt hoogste tijd om te upgraden naar een recente Windows-versie of alternatieve systemen. Windows 10-installaties en Macs zijn bijvoorbeeld niet kwetsbaar voor WannaCry.

Daarnaast is het belangrijk om de werknemers (nogmaals) op de hoogte te brengen van de gevaren van ransomware en virussen in het algemeen. Ze mogen nooit zomaar op linkjes klikken in e-mails van onbetrouwbare afkomst. En alertheid is geboden, want de mails gaan er steeds ‘echter’ uitzien.

 

Dit soort bedreigingen komen steeds meer voor; de oproep aan bedrijven om meer geld te besteden aan security is geen loze kreet. Maar dit gaat verder dan een goede firewall en goede monitoring. Security vraagt ook steeds meer samenwerking. Dat wordt binnen de overheid zeker gedaan. Dus bij een bedreiging opschalen en met leveranciers maar ook collega-overheid schakelen – ook kijkend naar motieven van daders en mogelijke doelen. Gaat het alleen om geld of om andere dingen?

Daarnaast zijn bewustwording en het betrekken van gebruikers belangrijk. Je kunt als drastische maatregel mail van en naar buiten, het openen van bijlages of het gebruik van usb-sticks tijdelijk stilzetten. Of dat nu nodig was ligt aan je firewall en patch-discipline, maar wie weet wat een volgende keer gebeurt? Betrek de gebruikers in de mogelijke scenario’s en in je risico-analyse ook mogelijk je leveranciers. Niet alleen op IT-vlak, maar als jouw logistieke leverancier bijvoorbeeld kwetsbaar is, dan raakt dat mogelijk ook jouw bedrijfsvoering.

Victor Viveen

 

Minder nieuwe infecties

Op het moment lijkt de verspreiding van WannaCry wat af te vlakken. Meer uit toeval hebben veiligheidsonderzoekers een mechanisme ontdekt dat ervoor zorgt dat de trojan stopt met het zoeken naar kwetsbare computers in het netwerk. Dat mechanisme werkt als volgt: in de broncode van het virus staat een link naar een website die eerst nog niet bestond. Een van de onderzoekers registreerde deze site en sindsdien verspreidt het virus zich niet meer. Een stop-knop in de vorm van een website dus. Er is echter nu al een nieuwe variant van WannaCry zonder deze noodknop opgedoken.

Vandaag wordt een nieuwe infectiegolf verwacht. Veel kwetsbare systemen van bedrijven waren in het weekend immers uitgeschakeld en worden maandag weer opgestart.

 

Laat uw reactie achter

U moet ingelogd zijn om een post te plaatsen.

‹‹ Ga terug naar nieuwsoverzicht
'Unlocking the power of networks'