Wij gebruiken cookies . Akkoord
Datacenter Oranje (10)

Waarom is WannaCry zo effectief ?

14 mei 2017 door Erik Loef

Afgelopen weekend van 12-13-14 mei, haalde de WannaCry ransomware variant het internationale en nationale nieuws. De vraag die ik in dit artikel wil beantwoorden is waarom juist deze variant van ransomware het nieuws haalt , terwijl ransomware al diverse jaren in diverse varianten actief is.

De WannaCry ransomware variant heeft twee nieuwe eigenschappen in vergelijking met bestaande bekende varianten zoals Locky, TorrentLocker en CryptoLocker. Allereerst versleuteld de WannaCry ransomware ook bestanden als er geen internetverbinding actief is. Echter de belangrijkste nieuwe eigenschap is dat de WannaCry ransomware zichzelf verspreid over het netwerk door gebruik te maken van een onlangs bekend geworden lek in windows. Voorheen werd alleen de computer van het slachtoffer en verbonden netwerkschijven versleuteld, de WannaCry variant gaat actief op zoek naar andere computers in het netwerk en versleuteld deze ook, alsof de persoon achter deze computer op de verdachte mail heeft geklikt. Daarnaast heeft de WannaCry variant meer rechten op een ander systeem door het gebruik van het Windows lek. Hierdoor worden er dan ook meer bestanden geïnfecteerd en meer computersystemen plat gelegd (bij vorige varianten waren normaal alleen de fileserver en computer van degene die het bestand had geopend). Hoe ziet dit er dan uit ? Zie hieronder een opname van een systeem die de WannaCry ransomware activeert en een tweede computer in hetzelfde bedrijfsnetwerk die zonder enige interactie wordt geïnfecteerd.

Demonstration of WannaCry Ransomware Infection (non-tech)

Door deze toevoeging aan de ransomware variant kunnen dus systemen waar normaal geen gebruiker achter zit geinfecteerd raken, zoals displays op stations, digitale reclamezuilen, betaalautomaten, etc. Hieronder wat foto's die op twitter verschenen. Mede hierdoor heeft deze variant grootschalig het nieuws gehaald, omdat dit het alledaagse leven heeft ontregeld.

Naast de nieuwe eigenschappen van de ransomware is er ook een zeer grote en effectieve mailing uitgestuurd over meer dan 70 landen, dit duidt op een goede voorbereiding, coordinatie en uitvoering. Om te kijken of er nu veel mensen betalen, kun je de bitcoin wallets in de gaten houden. Zo zijn er op dit moment drie bekend met elk ongeveer 40 tot 45 transacties.

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - bitcoin wallet 1
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw - bitcoin wallet 2
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn - bitcoin wallet 3

Gezien de effectiviteit en hoeveelheid nieuwsberichten heeft zelfs Microsoft besloten om ook voor systemen die out-of-support zijn, zoals Windows XP, 2003 en 8 toch nog een patch uit te brengen, dit geeft natuurlijk wel aan hoe groot de impact is geweest en is. Gezien de effectiviteit verwacht ik de komende periode diverse varianten van de WannaCry variant.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners