Zo reageerden wij op WannaCry

Zo reageerden wij op WannaCry

DearBytesBlogZo reageerden wij op WannaCry

 

Sinds afgelopen vrijdag is bij DearBytes hard gewerkt om organisaties te beschermen tegen WannaCry. Dit is wat we hebben gedaan.

Malware research & Tech.Alert

Allereerst hebben we gezorgd voor een stuk duiding. De gewoonte is om in dringende gevallen een Tech.Alert te sturen, maar die voorzien we vooral van een aantal hands-on tips over hoe te handelen. Dus hebben we allereerst onderzocht hoe de malware herkend en geblokkeerd kon worden. Gelukkig bleek er al veel informatie voor handen. Vooral omdat de ransomware gebruik maakte van gelekte NSA tools waar wij eerdere onderzoek naar deden.

Zinnige content kwam van partner McAfee die enkele detectietips gaf en een EXTRA.DAT had gepubliceerd. Ofwel: er was een virusdefinitie beschikbaar om de malware te stoppen.

Vervolgens hebben wij de mailing verzonden. Dat gaat via e-mail aan een openbare maillijst: iedereen kan lid worden. Schrijf je dus vooral in voor nieuwe alerts. De mail stuurden we vrijdag avond en plaatsten de alert online: https://www.dearbytes.com/alerts/wannacry/.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

 

Blokkeren van WannaCry

Ons team van Managed Security Services engineers heeft vrijdagavond en zaterdag hard doorgewerkt om klant omgevingen te beschermen tegen de WannaCry variant die vrijdag de ronde deed over de wereld. Het uitrollen van de geleverde virusdefinitie was 1, maar ook zijn extra detectieregels ingesteld om verdacht gedrag te herkennen. Dat laatste is van belang omdat er ook nieuwe varianten verwacht worden die mogelijk niet door de virusdefinitie getriggerd worden. We gebruikten daarbij onder andere de adviezen uit dit artikel van McAfee: https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Ondertussen zijn we veel gebeld door klanten die zich zorgen maakten over hun eigen infrastructuur. Gelukkig bleken alle telefoontjes preventief van aard, en konden we klanten gerust stellen of hulp bieden om zelf de nodige stappen te zetten. 

Klaar voor maandagmorgen

En nu is het maandag en wordt verwacht dat er bij klanten nog veel troep uit mailboxen komt die vrijdag en het weekend uitstonden. Maar bovendien: het zal ongetwijfeld tot nieuwe varianten leiden die weer net iets anders werken. Sterker nog, die zijn al gesignaleerd.

Met bovenstaande detectieregels verwachten we sluimerende WannaCry en ook nieuwe varianten snel te kunnen herkennen. Alarmen worden continu gemonitord door de security analisten in ons 24x7 SOC. Zodra daar iets afgaat, nemen we direct contact op met de klant in kwestie om een uitbraak in de kiem te kunnen smoren. 

Tegelijkertijd staan we klaar om Incident Response te verlenen aan getroffen organisaties die zelf de kennis en kunde missen om dat te doen. 

Of het los gaat valt nog te bezien, maar de Malware Fighters van DearBytes zijn er klaar voor!