Bitcoin.nl

Laatste nieuws

Wereldwijde ransomware-aanval: WannaCry

ransomwannacry

Vrijdag zijn meer dan 150.000 computers in 99 landen getroffen door de WannaCry ransomware. Experts geven aan dat dit de grootste ransomware aanval ooit is en dat ransomware zich nog nooit zo snel heeft verspreid. Verspreiding ging zo snel omdat de ransomware zich ook als een worm gedraagd, en zichzelf daardoor snel over interne netwerken kon verspreiden.

Ransomware

Ransomware is een verschijnsel dat al vele jaren bestaat. Het eerste geval van ransomware komt zelfs al uit 1989. Ransomware is een verzamelnaam voor computervirusen die een computer gegijzeld houden, waarbij over het algemeen sterke encryptie gebruikt word om alle bestanden van bepaalde types te versleutelen. Pas na betaling wordt een decryptiesleutel vrijgegeven.

schermafbeelding

De opmars van ransomware was vorig jaar (2016) zeer sterk. Zowel in aantal infecties, aantal aanvallen als ook in het aantal nieuwe varianten van ransomware. Cryptolocker, Locky, KleptoZepto, ZCryptor, KeRanger, Petya en TeslaCrypt zijn inmiddels bekende typen ransomware. De kans dat betalen leidt tot een decryptiesleutel verschilt per variant. Over het algemeen wordt voor ieder slachtoffer een apart bitcoinadres aangemaakt, zodat de gijzelnemers kunnen monitoren welke slachtoffers hebben betaald.

NSA, ShadowBrokers en Equation Group

Wanna Decryptor 2.0 is een vrij agressieve vorm van ransomware, doordat er een exploit (EthernalBlue), ontworpen door de NSA en Equation Group, in verwerkt zit. Deze exploits zijn naar buiten gebracht door een hackersgroep die zichzelf "theshadowbrokers‏" noemt. Deze groep heeft deze exploits in eerste instantie geprobeerd te veilen voor 1000 Bitcoin, waarschijnlijk in de hoop dat de NSA / Equation Group deze terug zou kopen, en het uitlekken van de exploits zou willen voorkomen. Op het adres van TheShadowBrokers, 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK, is "slechts" 10.488 BTC ontvangen. Desondanks hebben de shadowbrokers op 8 April de tools publiek gemaakt. Microsoft heeft patches voor deze exploit uitgebracht, maar in eerste instantie niet voor Windows XP.

Wanna DeCryptor 2.0

De ransomware lijkt niet specifiek aan bepaalde partijen gericht, maar vooral bedrijfsnetwerken zijn getroffen. Daarbij zijn meerdere Engelse ziekenhuizen getroffen, Deutsche Bahn en de Spaanse telecomprovider Telefónica getroffen. In Nederland is Q-park getroffen door de ransomware. Ook zijn er een groot aantal infecties in Rusland, iets dat in vergelijking met vorige ransomware aanvallen een stuk minder was.

In het geval van Wanna Decryptor worden voor zover nu bekend maar 3 bitcoinadresen gebruikt, waar het slachtoffer $300 in Bitcoin naar moet overmaken. De betaalde bitcoinbedragen lopen uiteen van 0.13432754 BTC tot 1.999 BTC. De bekende bitcoinaddressen zijn:

Hoewel er in eerste instantie relatief weinig transacties naar deze adressen leken te gaan, lijkt het aantal betalingen vanaf maandag 15 mei op te lopen. Op dit moment is er bevestiging dat in ieder geval een gedeelte van de slachtoffers de decryptiesleutels na betaling heeft ontvangen. De aanval is samen te vatten in de volgende cijfers:

  • 3 verschillende bitcoinadressen
  • 31.38537859 BTC
  • 200,000 attacks
  • 99 Landen.
  • 186 inkomende transacties
  • 0 uitgaande transacties

schermafbeeldingom

Killswitch

Het gevaar op nieuwe infecties lijkt te zijn geweken dankzij een toevalstreffer van @MalwareTechBlog. Tijdens het decompileren van de de malware kwam MalwareTechBlog een nog niet geregistreerde url tegen, en besloot deze vast te registreren. Dit had het effect van een "killswitch". De ransomware probeerde contact te maken met deze url en zolang de url niet bestond, dacht de malware dat hij op een normale computer stond. Als de url wel zou bestaan, ging de malware ervan uit dat hij in een zogenaamde 'sandbox' omgeving zat, en bleef inactief. Een sandbox omgeving wordt voornamelijk gebruikt door security onderzoekers om de gedragingen van malware te kunnen bestuderen.

Door het vastleggen van de url die in de broncode van de ransomware zat, lijkt de angel uit de malware te zijn gehaald. Het is afwachten of er meerdere varianten ingezet zullen worden door de aanvallers.