Check Point onthult wereldwijde WannaCry Ransomware Infection Map tijdens CPX Europe 2017

Onderzoekers van Check Point hebben de ransomware-campagne uitgebreid onderzocht sinds het voor het eerst werd gemeld. De onderzoekers hebben 34.300 aanvalspogingen in 97 landen bijgehouden. Gemiddeld vindt er elke drie seconden een aanval plaats, een lichte afname ten opzichte van het tempo dat twee dagen eerder geregistreerd werd (1 aanval per seconde). De meeste aanvalspogingen werden geregistreerd in India, gevolgd door de VS en Rusland.

Maya Horowitz, Threat Intelligence Group Manager bij Check Point, zegt: “Hoewel we een lichte afname zien in het aantal aanvalspogingen, verspreidt WannaCry zich alsnog snel en richt zich daarbij op organisaties wereldwijd. WannaCry is een wake up call en laat zien hoe schadelijk ransomware kan zijn en hoe het snel vitale diensten kan verstoren.”

Het Threat Intelligence- en onderzoeksteam van Check Point kondigde onlangs de registratie aan van een nieuw killswitch-domein dat gebruikt werd door een nieuw sample van WannaCry. Registratie van het domein activeerde de killswitch, wat duizenden potentiële slachtoffers heeft beschermd tegen de ransomware. Check Point’s live WannaCry Ransomware Infection Map laat in real time belangrijke dreigingsstatistieken en landspecifieke data zien.

Een andere bevinding van de Check Point-onderzoekers is dat degenen die getroffen zijn door WannaCry naar alle waarschijnlijkheid hun bestanden niet terug zullen krijgen, zelfs niet wanneer zij het losgeld hebben betaald. Een ingewikkeld betaal- en decryptiesysteem en valse demo van het decryptieproces trekken de mogelijkheid dat WannaCry-developers bestanden kunnen ontsleutelen in twijfel. Tot dusver hebben de drie bitcoin-accounts die geassocieerd worden met de WannaCry-campagne ongeveer $77.000 verzameld. Desondanks, en in tegenstelling tot vele andere gevallen van ransomware, is er nog geen enkel geval bekend van partijen die hun bestanden terug hebben gekregen.

In februari introduceerde Check Point zijn anti-ransomware-oplossing, die een aanvulling is op zijn SandBlast zero-day beschermingssuite voor geavanceerde threat prevention. Gebouwd op de Check Point Infinity-architectuur, biedt Check Point verbeterde threat prevention-mogelijkheden tegen aanvallen zoals WannaCry. De threat extraction-component stript de malware die in geïnfecteerde documenten aanwezig is, de threat emulation-component zorgt ervoor dat enkel veilige content wordt toegelaten op endpoints en de anti-ransomware-oplossing identificeert en blokkeert ransomware, zodat het apparaten niet beschadigt en bestanden niet versleutelt.