WannaCry-cyberaanval: ‘Maandag volgt een nieuwe test’
Foto: EPA

De wereldwijde cyberaanval met de gijzelsoftware WannaCry is grotendeels stilgelegd. Maar is daarmee het probleem ook helemaal van de baan? ‘Maandag volgt een nieuwe test’, zegt security-expert Eddy Willems.

Hoeveel zorgen moet u zich als modale thuisgebruiker maken over de gijzelsoftware WannaCry die sinds vrijdag de ronde doet? De schadelijke software heeft wereldwijd immers al tienduizenden computers besmet en bestanden op harde schijven versleuteld, in de hoop geld los te weken.

De slachtoffers zijn ook niet van de minsten: de Britse Nationale Gezondheidsdienst NHS, de Duitse spoorwegen, het Russische ministerie van Binnenlandse Zaken, autobouwer Renault, koerierbedrijf FedEx, ... Allemaal kregen ze af te rekenen met de gijzelsoftware WannaCry.

‘Het is een gevaarlijk stukje software, en de schaal waarop het zich verspreidt is enorm’, zegt Eddy Willems, security-expert bij GData in een reactie. Ook Europol zegt dat WannaCry de grootste wereldwijde aanval met ransomware tot nu toe is. ‘Ransomware of gijzelsoftware is een zeer grote bedreiging, maar als u een recente versie van Windows gebruikt, altijd netjes systeemupdates installeert en beveiligingssoftware hebt draaien, valt het risico dat u besmet raakt met deze WannaCry-variant wel mee.’

Vooral gevaarlijk in bedrijven

WannaCry lijkt eerder toegespitst te zijn op bedrijven, getuige ook de lijst van slachtoffers hierboven. ‘Deze ransomware kan zichzelf verder verspreiden - wat het technisch gezien meer een ransomworm maakt - maar kan dat enkel doen binnen hetzelfde computernetwerk’, verduidelijkt Willems. ‘Het is dus niet zo dat WannaCry bijvoorbeeld de contactenlijst van uw computer kan misbruiken om zo vrienden en familie te mailen met een gevaarlijke link. Maar in een bedrijfsnetwerk kan de worm zich snel verspreiden.’

Ook het feit dat WannaCry een lek in oudere Windows-versies uitbuit, maakt bedrijven kwetsbaarder. Slechts weinig bedrijven werken met de nieuwste versie van Windows. Zo bleken bij de Britse NHS inderdaad nog flink wat Windows XP-computers actief.

Om de ernst van WannaCry aan te tonen: Microsoft bracht in zeven haasten alsnog een beveiligingsupdate uit voor die oude Windows-versies die eigenlijk al lang niet meer ondersteund worden. Een uitzonderlijke actie voor de softwarereus.

Is het gevaar intussen geweken?

Een Britse securityonderzoeker vond door in de code van de gijzelsoftware rond te neuzen toevallig een manier om WannaCry uit te schakelen, een zogeheten kill switch. De software probeerde contact te maken met een vreemde domeinnaam op het internet die niet geregistreerd was. Door die domeinnaam te registreren, wordt de infectie gestopt. Een uit-knop die werd ingebouwd door de makers.

‘Het eerste gevaar is daarmee geweken’, zegt beveiligingsspecialst Willems, ‘maar dit is sowieso geen definitieve oplossing. Het is een kwestie van tijd voor er een nieuwe variant zal opduiken die deze kill switch niet heeft. Maar wat belangrijker is: deze zogezegde noodrem werkt niet in alle gevallen. Als er een proxyserver actief is (een server die tussen de computer van de gebruiker en het internet staat, red.) treedt de noodstop niet in werking.’ Heel wat bedrijven gebruiken zo’n proxy.

‘Maandag volgt een nieuwe test’, zegt Willems. ‘Overal ter wereld zijn systeembeheerders nu hun computers aan het nakijken en updaten, en ook wij als beveiligers houden een oogje in het zeil wanneer maandagochtend veel werknemers hun computers opstarten.’

In België is voor zover bekend nog maar één slachtoffer gevallen, een bedrijf uit Marcinelle. Olivier Monard, de bedrijfsleider, zegt aan RTL-TVI dat hij vrijdagnamiddag plots niet meer aan zijn bestanden kon. Hij vergelijkt de cyberaanval met een gewapende overval. ‘Alle 20.000 dossiers op onze server waren niet meer bereikbaar. Alle afbeeldingen, Excel-bestanden, ... ik heb zelfs geen toegang meer tot de telefoonnummers van mijn klanten.’

Wie zit hierachter?

Dat is een vraag die voorlopig onbeantwoord blijft. Maar een vermanend vingertje richting de spionnen van de Amerikaanse NSA is niet helemaal onterecht. WannaCry is immers een variant op een van de tools uit het cyberarsenaal van de Amerikaanse inlichtingendienst. Zij wisten dus van de kwetsbaarheid in Windows die nu wordt uitgebuit.

Zowat een maand geleden maakte een groep die zich Shadow Brokers noemt een deel van dat NSA-arsenaal buit en dumpte het online. Ook Shadow Brokers gaan dus niet vrijuit. Maar wie met de tools aan de slag is gegaan om ze om te vormen tot WannaCry, is op dit moment niet geweten.

Hoe kan ik mijn computer beschermen?

Zoals eerder gezegd: zorg dat u de laatste beveiligingsupdates heeft geïnstalleerd en laat beveiligingssoftware op uw computer draaien. Verder is het raadzaam om geregeld back-ups te maken van alle bestanden die u dierbaar zijn. Mocht u toch besmet raken met ransomware, dan is het sowieso geen goed idee om het losgeld te betalen. Er is immers geen garantie dat u uw bestanden toch nog terugkrijgt.