Wereldwijde cyberaanval legt talloze computersystemen plat

Een wereldwijde cyberaanval (WannaCry-ransomware) legt in tientallen landen computersystemen plat. Vrijdagmiddag werd bekend dat zeker zestien medische instellingen in Engeland zijn getroffen, nu blijkt dat ook talloze andere ICT-systemen zijn aangevallen in onder meer Rusland, China, de Verenigde Staten, Brazilië en een aantal Zuid-Europese landen. Ook in Nederland zijn er machines door de wereldwijde aanval met de WannaCry-ransomware getroffen, zo blijkt uit gegevens van de website MalwareTech.

Toen de infectie gisteren begon rapporteerde het Nationaal Cyber Security Centrum (NCSC) van de overheid dat het geen meldingen had ontvangen die op een toename van besmettingen met ransomware in Nederland duiden.

Het gaat om zogenoemde gijzelingssoftware onder de naam ‘Wannacry’ waarbij gebruikers geld moeten betalen om hun computer opnieuw te laten opstarten. Via een website van het Amerikaanse bedrijf MalwareTech is zichtbaar welke landen allemaal zijn getroffen.

Zodra de ransomware bestanden op een systeem heeft versleuteld moeten slachtoffers een losgeldbedrag in bitcoin betalen ter waarde van 300 dollar. Zoals gisteren al gemeld werden onder andere de Spaanse telecomprovider Telefonica en Britse ziekenhuizen door de ransomware getroffen. De Britse politie meldt dat er geen aanwijzingen zijn dat medische gegevens of persoonlijke informatie van patiënten of personeel is gecompromitteerd.

De Amerikaanse overheidsinstantie US-CERT adviseert slachtoffers om het gevraagde losgeld niet te betalen, aangezien er geen garantie is dat de bestanden worden ontsleuteld. De drie bitcoinadressen die ransomware gebruikt hebben inmiddels 8,2 bitcoin ontvangen, wat met de huidige koers bijna 13.000 euro is.

Waarom is dit belangrijk?

De ransomware wordt in snel tempo, op grote schaal verspreid en is gericht op ungepatchte Windows systemen. Veel bedrijven hebben nog niet alle patches up-to-date. Hierdoor is de kans op infectie groot en aangezien de variant ontwikkeld is om zich binnen het netwerk verspreiden is de potentiele impact ook aanzienlijk. Dat zou betekenen dat bestanden versleuteld worden en organisaties geen toegang meer hebben tot hun eigen data. Wat gebeurt er bij een besmetting?

  • Bestanden worden versleuteld met extensies .wnry, .wcry, .wncry en .wncryt. Eindgebruikers zien een rood scherm zoals hiernaast met een ransom bericht;
  • Bij herstarten van de computer wordt een blauw scherm zichtbaar waarna de computer niet verder laadt;
  • Encryptie wordt toegepast op de lokale host en open SMB shares

Wat kunt u doen?

Aangezien Microsoft reeds patches heeft uitgebracht is het zaak deze zo spoedig mogelijk uit te rollen. Tevens adviseren wij additionele mitigerende maatregelen om getroffen systemen zo snel mogelijk te herkennen en van het netwerk te verwijderen, gezien de potentiele impact en vermoedelijke doorlooptijd van een patch uitrol.

Lees hier hoe de infectie te herkennen met behulp van McAfee Endpoint Protection: https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Blokkeer tevens in uw host based firewall poorten 139, 445 & 3389.

SNORT regels zijn beschikbaar om misbruik van MS17-010 te herkennen of blokkeren in uw Firewall of IPS/IDS: https://gist.github.com/misterch0c/a45f1ec6db11db42501f83fcc55b4a6e

Bent u getroffen door WannaCry of heeft u ondersteuning nodig bij het uitrollen van patches of aanvullende mitigatie maatregelen, neem dan contact met ons op: www.vtmgroep.nl/klantenservice


Bezoekers van deze pagina bekeken ook:

 

Deel deze pagina op:

© copyright 1988-2017 VTM Groep | Algemene voorwaarden | Disclaimer | Sitemap
Deze website maakt gebruik van cookies. Meer informatie?

Onderdeel van svg