Beheer

Security
Wannacry

WannaCry infecteert 2 jaar na dato nog steeds miljoenen pc's

4,3 miljoen WannaCry-infecties gedetecteerd in augustus.

ransomware © CC0 Pixabay.com
19 september 2019

4,3 miljoen WannaCry-infecties gedetecteerd in augustus.

WannaCry in mei 2017 het wereldwijde nieuws. De plots opgedoken ransomware infecteerde toen ruim 200.000 Windows-computers in zo'n 150 landen, ondanks een al eerder uitgebrachte patch waarmee de gebruikte kwetsbaarheid verholpen werd. Ook twee jaar na dato blijkt die patch lang niet overal geïnstalleerd te zijn. WannaCry infecteert nu namelijk meer computers dan ooit.

Een analyse van beveiligingsbedrijf Sophos wijst uit dat alleen in augustus 2019 er al 4,3 miljoen pogingen waren om een systeem te infecteren met een (nieuwe) versie van WannaCry. Daarbij ging het om 6.963 verschillende varianten, waarvan 80 procent nieuwe bestanden waren.

De meeste infecties zaten in die afgelopen maand in de Verenigde Staten (22,5 procent), maar ook in Europa waren infecties te zien. In Italië gaat het bijvoorbeeld om 5,7 procent van deze succesvolle WannaCry-aanvallen. Sophos laat op een kaart zien dat er ook in Nederland infecties waren, maar geeft geen specifieke aantallen.

12.480 varianten

Het is bovendien opvallend dat de verspreiding doorgaat terwijl er bij de eerste versie van WannaCry een 'kill switch' werd ontdekt én vervolgens geactiveerd door een onafhankelijke security-onderzoeker. Die Britse expert registreerde een domeinnaam die in de code van de malware was opgenomen, om daarmee de verdere verspreiding van de ransomware stop te kunnen zetten.

In de dagen daarna verschenen nieuwe varianten van WannaCry met een nieuw domein voor eventuele uitschakeling, maar deze nieuwe versies werden met dezelfde methodes tegengehouden. Dat blijkt nu echter niet meer te kunnen. Sinds de eerste aanval in 2017 heeft Sophos 12.480 verschillende varianten van de originele WannaCry-code gedetecteerd. Maar liefst 98 procent van al die varianten omzeilt de kill switch, en blijft mede daardoor daardoor dus actief.

Sophos biedt wel met een lichtpuntje. Vrijwel alle WannaCry-varianten die het bedrijf heeft ontdekt, functioneren niet goed en kunnen data op de computers van hun slachtoffers niet versleutelen. De varianten kunnen echter wel nonfunctionele kopieën van zichzelf verspreiden naar Windows-computers die ook niet gepatcht zijn. Latere toevoeging van functionaliteit zou dan een nieuw risico kunnen brengen voor systemen die zo geïnfecteerd zijn, maar (nog) niet gegijzeld.

De originele versie van WannaCry is inmiddels naar de achtergrond verdwenen. Tussen september en december 2018 zag Sophos die versie slechts 40 keer langskomen, op een totaal van 5,1 miljoen infectiepogingen. "Dat aantal is zo laag dat het eenvoudig te koppelen is aan tests van beveiligingsonderzoekers of analisten."

Patches uitstellen is geen optie

Sophos' onderzoek wijst uit dat de doorlopende verspreiding van de ransomware te danken is aan het feit dat grote organisaties het installeren van Windows-patches vaak uitstellen. De angst bestaat dat updates voor problemen zorgen met software van derde partijen. 

"Dat betekent dat als de originele kill switch-domeinen opeens niet meer geregistreerd zijn, de werkende versies van WannaCry plotseling weer opnieuw kwaadaardig worden en gedistribueerd worden door en aan een overvloed aan niet-gepatchte machines." Het beveiligingsbedrijf concludeert dan ook dat het uitstellen van patches geen optie meer is.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.