Op vrijdag 12 mei dook in de loop van de dag de ransomware WannaCry op. In korte tijd besmette de malafide software tienduizenden computers in bijna honderd landen. Waar komt deze malware vandaan en wat kun je ertegen doen?

Wat is WannaCry?

WannaCry is een specifieke vorm van malafide software die bekend staat als ransomware. De software gijzelt als het ware de computers die het infecteert door bestanden op de harde schijf te versleutelen met een onbekende encryptiesleutel.

Hierdoor hebben gebruikers niet langer toegang tot de bestanden op hun computer. De makers van dergelijke ransomware eisen doorgaans een geldsom van slachtoffers in ruil voor het ontsleutelen van de bestanden. Bij WannaCry wordt een bedrag van zo’n 275 euro gevraagd, dat moet worden betaald in bitcoin, een virtuele betaalmunt die populair is onder criminelen.

Waar komt WannaCry vandaan?

Het is vooralsnog niet bekend wie achter de verspreiding van de WannaCry-ransomware zit. Politieorganisatie Europol heeft al aangekondigd dat zijn cybercrimeafdeling mee zal helpen aan het onderzoek naar de herkomst van de aanval.

WannaCry maakt gebruik van een kwetsbaarheid in Windows die in maart al door Microsoft is gedicht. De kwetsbaarheid kwam aan het licht via een lek van de hackersgroepering Shadowbrokers waarin onder meer informatie stond over spionageactiviteiten van de Amerikaanse inlichtingendiensten NSA en CIA.

Zij zouden verschillende kwetsbaarheden in Windows, waaronder die waar WannaCry gebruik van maakt, hebben aangewend bij de ontwikkeling van spionagemiddelen. Ondanks dat de kwetsbaarheid al is verholpen, wist WannaCry alsnog duizenden computers te infecteren. Deze systemen draaiden waarschijnlijk op verouderde versies van Windows of waren nog niet geüpdatet.

Wat voor schade heeft WannaCry aangericht?

WannaCry heeft, voor zover bekend, in 99 landen computers geïnfecteerd. In het Verenigd Koninkrijk werden tientallen ziekenhuizen en zorginstellingen slachtoffer van de ransomware, die de systemen van deze instanties geheel of grotendeels onbruikbaar maakte. Hierdoor moesten patiënten naar andere ziekenhuizen uitwijken, omdat medewerkers geen toegang meer hadden tot noodzakelijke systemen en gegevens.

In Spanje werd onder meer het telecombedrijf Telefonica slachtoffer. Ook in andere landen werd melding gemaakt van infectie door WannaCry. Onder meer Duitse Spoorwegvervoerder Deutsche Bahn is getroffen, maar dit leidde niet tot verstoring van de dienstregeling. Wel kregen reizigers op informatieborden de boodschap van WannaCry te zien dat het achterliggende systeem gegijzeld was.

De Franse autofabrikant Renault is eveneens slachtoffer geworden van de ransomware en heeft besloten de productie in verschillende van zijn fabrieken tijdelijk stil te leggen. Dit om te voorkomen dat WannaCry zich verder verspreidt binnen het netwerk van het bedrijf.

Hoe hoog is het risico op infectie?

Hoewel WannaCry zich in korte tijd op een groot aantal computers heeft weten te installeren, is de verdere verspreiding van WannaCry voorlopig gestopt. Een beveiligingsonderzoeker riep de ransomware per toeval een halt toe.

Dat wil echter niet meteen zeggen dat er geen risico meer bestaat op infectie. Computers die reeds geïnfecteerd zijn, kunnen nog steeds gegijzeld worden als gebruikers bijvoorbeeld een e-mailbijlage openen waarin de malware verstopt zit.

Om beschermd te zijn tegen de ransomware, moeten de meest recente beveiligingsupdates die Microsoft voor zijn besturingssysteem Windows heeft uitgebracht doorgevoerd zijn. Het gaat om update MS17-010 voor onder meer Windows Vista, Windows 7, Windows 8.1 en Windows 10. De update werd op 14 maart uitgebracht en zou al moeten zijn doorgevoerd als gebruikers automatische beveiligingsupdates hebben ingeschakeld.

Microsoft besloot vanwege de ernst van de cyberaanval ook het niet langer ondersteunde Windows XP en Windows 8 van een speciale update te voorzien om de kwetsbaarheid te verhelpen. Daarnaast heeft het bedrijf de beveiligingssoftware van Windows geüpdatet om de nieuwe vorm van ransomware te identificeren en gebruikers hiertegen beschermt.

Het Nationaal Cyber Security Centrum heeft Nederlandse instanties, zoals ziekenhuizen en gas-, water- en lichtleveranciers geadviseerd om extra alert te zijn op verdachte bestanden die bijvoorbeeld per e-mail worden verstuurd.

Er zijn nog geen specifieke gevallen bekend van Nederlandse infecties, maar de WannaCry-ransomware is wel beschikbaar in de Nederlandse taal en het is waarschijnlijk dat ook in Nederland computers zijn gegijzeld.