De verspreiding van de wereldwijde cyberaanval met gijzelsoftware is stilgelegd. Een Britse beveiligingsonderzoeker vond in de code van de WannaCry-ransomware toevallig een ingebouwde noodrem.
Sinds vrijdag zijn tienduizenden computers over de hele wereld getroffen door de WannaCry-ransomware, een stukje schadelijke software die bestanden op een computer versleutelt en geld vraagt om ze weer vrij te geven.
Toen een Britse onderzoeker vrijdag door de broncode van de gijzelsoftware aan het grasduinen was, stootte hij op een opmerkelijke verwijzing: op een bepaald moment in het proces zoekt de kwalijke software contact met een bizarre domeinnaam die uit een schijnbaar willekeurige reeks van cijfers en letters bestaat. Die domeinnaam bleek vreemd genoeg niet geregistreerd te zijn.
De beveiligingsspecialist, die op Twitter bekendstaat als MalwareTech, besloot om die domeinnaam op zijn naam te registreren, en dat bleek ineens ook de manier te zijn om de WannaCry-gijzelsoftware stil te leggen. Als besmette machines daar contact mee maken, werkt de domeinnaam nu als kill switch, een soort noodrem waarmee de infectie wordt gestopt.
Gestolen bij de NSA
De malware werd vorige maand samen met een heleboel andere bestanden online gezet door een groep die zich Shadow Brokers noemt. Diezelfde Shadow Brokers beweren vorig jaar een aantal ‘cyberwapens’ uit het arsenaal van de Amerikaanse National Security Agency (NSA) gestolen te hebben. De kans lijkt dus groot dat WannaCry een lek in Windows uitbuit dat de NSA eerder ontdekt heeft (en geheim gehouden om het zelf te kunnen gebruiken voor spionage).
Het was een kwestie van tijd voor cybercriminelen met de malware aan de slag zouden gaan. Vooral computers met oudere software zijn erg kwetsbaar voor dergelijke aanvallen. Op veel plaatsen wordt nog gewerkt met Windows XP, een besturingssysteem dat niet meer ondersteund wordt door Microsoft.
Eén Belgisch slachtoffer
Volgens onderzoekers bij beveiliger Kaspersky Lab zijn meer dan 45.000 computers getroffen in meer dan 74 landen. Bij de slachtoffers zijn de Britse Nationale Gezondheidsdienst NHS, het Spaanse Telefónica, de Duitse spoorwegen, autobouwer Renault, koerierbedrijf FedEx en het Russische ministerie van Binnenlandse Zaken.
Volgens Lars Putteneers van computerbeveiligingsbedrijf Sophos gaat het om de grootste en zwaarste ransomware-aanval van de afgelopen 10 jaar.
Ook in België zou er één geval van de cyberaanval bekend zijn, zegt Miguel De Bruycker, directeur van het Centrum voor Cyberveiligheid (CCB). Het gaat om een bedrijf uit Marcinelle, waarvan zender RTL al een getuigenis optekende. ‘Maar er is nog niets officieel’, zegt De Bruycker. ‘Er kwam een melding van een bedrijf in Marcinelle. Onze diensten onderzoeken nu wat er van aan is, maar er is nog niets bevestigd.’
Gevaar nog niet geweken
Er mag dan wel een kill switch gevonden zijn voor de huidige variant van de WannaCry-gijzelsoftware, het gevaar is toch nog niet helemaal geweken. Door een paar regels code aan te passen en de software opnieuw vrij te geven, kunnen de makers een nieuwe besmettingsgolf lanceren.
Microsoft heeft intussen een beveiligingsupdate klaar die het lek dat door de ransomware wordt uitgebuit dichttimmert. Gezien de agressiviteit van deze aanval heeft de softwaremaker deze ‘patch’ ook beschikbaar gemaakt voor Windows XP en andere Windows-versies die niet meer ondersteund werden.
‘In maart hebben we een veiligheidsupdate gepubliceerd die tegemoetkomt aan de kwetsbaarheden die voor deze aanval gebruikt worden. Zij die de functie ‘automatische updates’ geactiveerd hebben, zijn dus beschermd. Voor systemen die de update nog niet hebben doorgevoerd, stellen we voor om meteen de ‘security bulletin MS17-010’ toe te passen’, schrijft Microsoft op zijn blog. Gebruikers van Windows 10 waren sowieso al niet vatbaar voor WannaCry.
Miguel De Bruycker van het Centrum voor Cyberveiligheid geeft nog drie tips tegen de ransomware: ‘Open zeker geen bijlagen van verdachte e-mails, hou je computer up-to-date en neem regelmatig een back-up van gegevens’.