Massale ransomware aanval strandt door programmeerfout

De grootste ransomware aanval uit de geschiedenis lijkt niet zo lucratief als gedacht. Door een fout in de code van de ransomware kon de verspreiding van de malware makkelijk worden gestopt.

Nog maar weinig Nederlandse bedrijven – afgezien van de parkeergarages van Q-Park – zijn getroffen door de WanaCrypt0r-ransomware die vorige week Britse ziekenhuizen en diverse organisaties plat legde. Het Nationaal Cyber Security Center heeft desondanks een waarschuwing uit laten gaan. ‘Let extra op bij het openen van e-mail vanuit niet vertrouwde bronnen’, waarschuwde de organisatie.

De malware verspreidt zich na infectie per e-mail razendsnel naar andere computers in hetzelfde netwerk. Online beveiliger Avast telde vrijdag 57.000 infecties in 99 landen, met name Rusland en Taiwan.

In de VS werd onder meer bezorger FedEx getroffen. Diverse Britse ziekenhuizen hebben patiënten opgeroepen niet naar het ziekenhuis te komen, tenzij het een noodgeval is.

Het gaat om de grootste ransomware aanval in de geschiedenis, zeggen experts. Het motief lijkt ook duidelijk: door vooral grote bedrijven als Telefonica te infecteren, hopen de aanvallers vele miljoenen binnen te slepen.

De ransomware maakt gebruik van een kwetsbaarheid in Windows, een lek in het SMB-protocol, waarmee Windows-computers bestanden met elkaar uitwisselen. Microsoft heeft het lek reeds in maart gedicht. Onderdeel van de malware is een stukje gelekte code van de Amerikaanse geheime dienst NSA.

De WanaCrypt0r-ransomware vraagt 300 tot 600 dollar losgeld in bitcoins. Wanneer niet binnen drie dagen wordt betaald, worden alle bestanden op de computer gewist.

Dat gaat voorlopig niet meer lukken. Een beveiligingsonderzoeker activeerde per ongeluk een zogeheten ‘killswitch’ die de makers kennelijk hadden ingebouwd om de aanval te stoppen. In de code ontdekte hij een niet bestaande domeinnaam waarmee de malware contact zou zoeken. Door deze domeinnaam op zijn eigen naam te registreren kreeg hij de regie in handen.

Volgens antivirusmaker Kaspersky zou er tot op heden slecht 7 Bitcoin betaald zijn om bestanden terug te kopen. Omgerekend komt dat neer op een bedrag van iets minder dan 11.000 euro.

Er is echter grote kans dat er varianten komen zonder killswitch, waarschuwen experts.

Op Emerce Tech Live (30 mei in Amsterdam) gaat Rob de Vries van True Access uitgebreid in op de digitale criminaliteit. Waar digitale criminaliteit zich vroeger beperkte tot eenvoudige middelen, bijvoorbeeld e-mail met een virus, gaat de hedendaagse cybercrime veel verder. Kaarten hier.