WannaCry cyberaanvallen: ver-van-je-bedshow of opletten geblazen?

Op vrijdag 12 mei zorgde een wereldwijde cyberaanval opnieuw voor gigantisch veel chaos. De aanval was van een ongeziene omvang en hoewel er geen specifieke sectoren of personen werden geviseerd, zorgde de ransomware voor een grote impact in onder andere de gezondheidszorg, de automobielindustrie, de telecomsector en de spoorwegen. Europol stelt dat er zo’n 237.000 computers in 150 landen over de hele wereld geïnfecteerd werden. Bedrijven zoals de National Health Service in het Verenigd Koninkrijk en FedEx in de Verenigde Staten werden geïmpacteerd door WannaCry, de naam van de malware in kwestie.

Verschillende ziekenhuizen konden niet langer functioneren omdat ze geen toegang meer hadden tot hun patiëntendossiers. Kleine en middelgrote ondernemingen en zelfs particulieren kregen te maken met de malware. Deze interactieve kaart toont hoe de malware aan terrein won:

Hoe is dit kunnen gebeuren?

De cyberaanval kon plaatsvinden doordat specifieke toegangspoorten in computersystemen –die inloggen van buitenaf mogelijk maken- toegankelijk waren. Het Amerikaanse NSA (National Security Agency) zou hacking tools ontwikkeld hebben die EternalBlue als naam kregen. Deze tools kwamen in de verkeerde handen terecht.

Wanneer het lek aan het licht kwam, bracht Microsoft met spoed een security patch uit. Maar omdat deze patch niet snel genoeg werd uitgerold, ontstonden er gigantische problemen.

Zijn er op computersystemen poorten geopend die filesharing en remote toegangssessies toestaan? Dan zijn deze systemen ineens blootgesteld aan een groot risico op inbraak en de verspreiding van malware. Wanneer de servers of computers niet of onvoldoende gepatched zijn, is het een koud kunstje om de payload te laden en de systemen lam te leggen. Het doel van de hackers is om de server-, en/of computercapaciteit in te zetten voor de verdere verspreiding van de malware, of om losgeld te eisen in ruil voor de decryptiesleutel om onbruikbaar geworden bestanden terug te recupereren. Dit betekent twee zaken: dat ransomware na infectie van het apparaat op zoek gaat naar andere kwetsbare computers die verbonden zijn om ook deze te infecteren. En dat hackers er door het eisen van losgeld er ook nog hun voordeel uit willen halen.

Toevallig ontdekte een Britse veiligheidsonderzoeker een domeinnaam in de broncode van WannaCry. Deze domeinnaam was niet geregistreerd. Bij het registreren van deze domeinnaam ontdekte de onderzoeker, die schuilgaat achter de Twitter handle MalwareTech, dat dit een “kill switch” was. Dit betekent dat indien het domein actief wordt, het virus stopt met zich te verspreiden. Zo kwam er een einde aan de giga-aanval.

Uiteraard kwam er al snel een “Wave Two” of tweede versie van het virus met een gewijzigd domein dat veel moeilijker te achterhalen is. Kaspersky Labs heeft daarnaast ook voorbeelden te zien gekregen van WannaCry varianten zonder kill switch. Hierdoor zou het virus zich razendsnel en zonder onderbreking kunnen verspreiden over computers overal ter wereld. We mogen er dus zeker van zijn dat we in de toekomst met meerdere golven van malware te maken zullen krijgen.

Hoe kan dit voorkomen worden?

Cyberaanvallen groeien dagelijks in omvang en zijn gebaseerd op slimme algoritmen die continu veranderen. Daarom zijn ze vaak niet op 1-2-3 gedetecteerd of verholpen. Omdat voorkomen beter is dan genezen, vertellen we jou als collega-ondernemer graag hoe jij door middel van 3 belangrijke beveiligingsinitiatieven de mogelijke schade in jouw KMO kan beperken:

1)    Een professionele firewall

Een firewall noemen we professioneel wanneer ze proactief geconfigureerd is om specifieke toegangspoorten te blokkeren en ook de systemen monitort op nog maar de kleinste bedreiging die het systeem probeert aan te vallen. Firewalls die deze features niet hebben, en niet ogenblikkelijk rapporteren of actie ondernemen, zorgen helaas voor een gebrekkige beveiliging.

2)   Continu geüpdatete systemen

Het is belangrijk dat besturingssystemen altijd bijgewerkt zijn én dat beschikbare security patches razendsnel geïnstalleerd worden. Het kleinste lek dat ontdekt wordt, komt immers onmiddellijk in het vizier van hackers.

Microsoft heeft naar aanleiding van WannaCry trouwens een extra patch uitgebracht om haar gebruikers te beschermen. Deze patch is ontwikkeld voor versies vanaf Windows XP, ook al zou die niet meer ondersteund worden door Microsoft. Het is immers zo dat vele bedrijven in o.a. de gezondheidszorg nog gebruik maken van deze sterk verouderde versie van het besturingssysteem. Ook voor Windows Vista, Windows 8, Windows Server 2003 en Windows Server 2008 zijn acties ondernomen. Gebruik je een verouderde of niet-ondersteunde versie van Windows? Dan is het aan te raden een upgrade uit te voeren. Ook kan je er best voor zorgen dat SMB poorten 139, 445 geblokkeerd worden voor alle extern toegankelijke hosts.

3)    Back-ups volgens de 3-2-1-regel

De 3-2-1 back-upregel is gemakkelijk te onthouden, snel toe te passen en daarom erg handig om je belangrijkste bestanden echt veilig te stellen. Ze stelt dat je niet genoeg hebt aan één back-up maar alle belangrijke bestanden minstens 3 keer dient op te slaan. Volgens deze regel heb je steeds minstens:

– 3 kopieën van je meest waardevolle bestanden, op
2 verschillende opslagmedia, waarvan zeker
1 offsite backup

We raden daarom het volgende aan:

– Een synchronisatieback-up die continu alle bestanden synchroniseert met een externe (extreem beveiligde) server.
– Een termijnback-up die op vaste tijdstippen een volledige situatieback-up neemt en er een aantal versies en revisies van bewaart.
– Een offline back-up die absoluut niet toegankelijk is via een internetverbinding.

Als je deze back-upstrategie toepast, heb je een belangrijk “plan B” en “plan C” dat je data veilig stelt tegen aanvallen.

(Deels) back-uppen in de cloud is een slimme zet om risico te spreiden. Ook fysieke risico’s zoals brand en diefstal waarbij al je data verloren gaat, worden op die manier tot een minimum herleid. Bovengenoemde richtlijnen gelden naast een aantal specifieke maatregelen zeker ook voor cloudomgevingen. Indien er toch een onbetrouwbaar bestand weet binnen te dringen door een manuele actie van de gebruiker, kan er een reservekopie worden ingeladen. Zo kan de werkomgeving weer hersteld worden naar de omgeving van voor de malware-aanval.

Ver-van-je-bed of tijd voor proactieve actie?

In welke sector je ook werkzaam bent, of je nu een zelfstandige bent of een grote KMO runt, het is hoog tijd dat je cybersecurity serieus neemt en er strategisch over nadenkt.

Wat je nu alvast kan ondernemen, is het volgende : installeer deze patch voor je Windows-besturingssysteem indien het nog niet bijgewerkt is, laat je IT-infrastructuur grondig analyseren en win advies in om een impact bij de volgende golf cyberaanvallen proactief te voorkomen. Via een aantal technische check-ups controleren we graag welke kwetsbaarheden er in jouw systeem schuilhouden.

Deze informatie verder verspeiden? Deel ze met je netwerk!