WannaCry: grootschalige ransomware campagne

WannaCry: grootschalige ransomware campagne

DearBytesAlertsWannaCry: grootschalige ransomware campagne

 

Wat is er aan de hand?

Ransomware is een soort computervirus wat de bestanden op de pc of in het netwerk ‘gijzelt’ door deze te versleutelen waarna er vervolgens geld gevraagd wordt om de bestanden te ontsleutelen en vrij te geven. De ransomware waar het nu om gaat heeft als naam “WannaCry” en zorgt wereldwijd dus voor allerlei problemen bij organisaties. Media besteden er veel aandacht aan vanwege de grote schaal waarop de ransomware wordt verspreid.Er is een nieuwe vorm van ransomware wereldwijd actief en vele organisaties hebben er last van. Bij het schrijven van dit artikel, zijn er een groot aantal besmettingen bekend, onder andere bij een grote telecomprovider in Spanje, een energie- en een gasbedrijf uit Spanje, Italiaanse universiteiten, Engelse ziekenhuizen, Russische ministeries en het Duitse spoorwegbedrijf.

Zie voor meer informatie onder andere dit bericht: http://nos.nl/artikel/2172846-gijzelsoftware-verspreidt-zich-razendsnel-mogelijk-ook-in-nederland.html

Update: inmiddels lijkt de WannaCry variant stopgezet te zijn. De kans is groot dat er nieuwe varianten komen, de eerste daarvan zijn alweer gesignaleerd. Dus onderstaand dringend advies blijft derhalve van kracht. Zie ook: https://www.security.nl/posting/514661/Onderzoeker+vindt+%27killswitch%27+voor+grote+ransomware-aanval

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

 

Waarom is dit belangrijk?

De ransomware wordt in snel tempo, op grote schaal verspreid en is gericht op ungepatchte Windows systemen. Vele organisaties in Nederland hebben nog niet alle patches up-to-date en maken wel gebruik van Windows systemen. Hierdoor is de kans op infectie groot en aangezien de variant ontwikkeld is om zich binnen het netwerk verspreiden is de potentiele impact ook aanzienlijk. Dat zou betekenen dat bestanden versleuteld worden en organisaties geen toegang meer hebben tot hun eigen data.

Wat gebeurt er bij een besmetting?

  • Bestanden worden versleuteld met extensies .wnry, .wcry, .wncry en .wncryt. Eindgebruikers zien een rood scherm zoals hiernaast met een ransom bericht;
  • Bij herstarten van de computer wordt een blauw scherm zichtbaar waarna de computer niet verder laadt;
  • Encryptie wordt toegepast op de lokale host en open SMB shares

Op wie is dit van toepassing?

WannaCry richt zich op alle gebruikers van Windows systemen. Heeft uw organisatie Windows systemen? Lees dan nu verder.

Elke Windows versie heeft een zogenoemd Server Message Block (SMB), een standaard onderdeel in alle versies om bestanden te kunnen uitwisselen. In deze SMB is een enkele weken geleden een kwetsbaarheid ontdekt, waardoor het SMB vatbaar is voor infecties door bijvoorbeeld malware/ransomware.

Elke kwetsbaarheid krijgt een uniek nummer, een zogenoemde CVE score. Het nummer van deze kwetsbaarheid is CVE-2017-0143 tot en met CVE-2017-0148. Microsoft heeft het geregistreerd onder het nummer MS17-010.

Meer details kunt u hier vinden: https://technet.microsoft.com/library/security/MS17-010

Update: Microsoft heeft ook updates uitgebracht voor de end-of-life varianten van Windows zoals XP en 2003. Dus ook als ie die systemen gebruikt is het dringende advies om te updaten via https://update.microsoft.com.

Wat kunt u doen?

Aangezien Microsoft reeds patches heeft uitgebracht is het zaak deze zo spoedig mogelijk uit te rollen. Tevens adviseren wij additionele mitigerende maatregelen om getroffen systemen zo snel mogelijk te herkennen en van het netwerk te verwijden, gezien de potentiele impact en vermoedelijke doorlooptijd van een patch uitrol.

Lees hier hoe de infectie te herkennen met behulp van McAfee Endpoint Protection: https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Blokkeer tevens in uw host based firewall poorten 139, 445 & 3389.

SNORT regels zijn beschikbaar om misbruik van MS17-010 te herkennen of blokkeren in uw Firewall of IPS/IDS: https://gist.github.com/misterch0c/a45f1ec6db11db42501f83fcc55b4a6e

Bent u getroffen door WannaCry en zoekt u Incident Response hulp, neem dan contact met onze 24×7 hulplijn op: 0251-750250.

Wat doet DearBytes?

Bij DearSilver en Malware Defense Service klanten installeren wij de EXTRA.DAT die McAfee beschikbaar heeft gesteld voor detectie (zie: https://kc.mcafee.com/corporate/index?page=content&id=KB89335)

Op verzoek kan DearBytes eerder genoemde regels in McAfee software activeren. Neem daartoe contact op met onze service desk.

Bij organisaties waar DearBytes vulnerability scanning beheert, zal een scan op MS17-010 worden uitgevoerd en resultaten worden gedeeld.

 

Blijf op de hoogte

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.