WannaCry: niet huilen maar patchen!

Soms zijn er gebeurtenissen waarbij men vraagt: “Waar was jij toen….”. Zo’n gebeurtenis was er ook afgelopen vrijdag. Het begon met een bericht dat Telefonica Spanje getroffen zou zijn door een massale ransomware-aanval. Volgens de eerste verhalen waren er massale BSOD’s (Blue Screen Of Deaths) en werd het personeel geadviseerd om alle computers uit te zetten.

Eerlijk gezegd dachten we eerst dat Telefonica het slachtoffer was van een APT (Advanced Persistent Threat). Wil je immers een BSOD te zien krijgen, dan moet er iets in de kernel verkeerd gaan. Dit zou betekenen dat de ransomware administratorrechten nodig heeft en bijvoorbeeld een slecht geschreven kernel driver laadt, of een slecht geschreven exploit bevat om administratorrechten te krijgen. Wat dat betreft ligt een APT meer voor de hand. Er zijn namelijk enkele gevallen bekend waarbij door APT-groepen gemaakte drivers BSOD’s veroorzaken.

Maar toen bleek al snel dat het BSOD-verhaal niet klopte en zagen wij ook steeds meer samples van een nieuwe variant van WannaCry in ons Kaspersky Security Network (KSN). Hierop begonnen wij direct de malware te onderzoeken om implementatiefouten en andere interessante eigenschappen te vinden om zo het succes van de malware te kunnen verklaren.

Hiervoor moeten wij een maand terug in de tijd. Toen publiceerde een mysterieuze groep genaamd de Shadowbrokers een bestand met daarin tools van een APT-groep die bij ons bekend staat als de Equation Group. Het bestand bevatte een groot aantal tools en exploits waarvan er een hoop 0-day of 1-day waren. Een van deze exploits was een Remote Code Execution (RCE) voor SMB, beter bekend als Windows file sharing. De vervelende eigenschap van een RCE-kwetsbaarheid is dat deze – zoals de naam al doet vermoeden – op afstand is uit te voeren. Het is dus mogelijk om code uit te voeren op een andere computer, zonder dat iemand achter de computer iets moet doen, zoals op een e-mail klikken. Het enige wat nodig is, is dat de computer SMB gebruikt.

Terug naar WannaCry. De makers van WannaCry zijn zo slim geweest om de RCE SMB-exploit van de Equation Group te gebruiken en deze in de ransomware te verwerken. Hierdoor is het al genoeg om één computer in een netwerk te besmetten, waarna de ransomware vanzelf op zoek gaat naar andere computers in het netwerk en deze probeert te infecteren via de exploit van de Equation Group. Hier houdt het echter niet op, want zodra een computer geïnfecteerd is genereert het een random IP-adres, kijkt of dit IP-adres ook SMB heeft draaien en indien dit het geval is, wordt deze computer ook geïnfecteerd. Helaas laat WannaCry maar weer eens goed zien, waarom overheden naar onze mening geen malware zouden moeten ontwikkelen. Hun Tactieken, Technieken en Procedures (TTPs) worden vaak door criminelen overgenomen met alle ellende van dien voor organisaties en burgers.

Op het moment van schrijven (maandag 15 mei 2017) is het totale aantal varianten dat in omloop is nog onduidelijk, maar in het weekend verschenen er twee opvallende varianten. Wij denken niet dat een van deze varianten door de oorspronkelijke auteurs is gecreëerd – waarschijnlijk werden ze gepatcht door anderen die de aanval voor hun eigen doel willen gebruiken. De eerste begon zich te verspreiden op zondagochtend we hebben tot nu toe drie slachtoffers genoteerd voor deze variant, gevestigd in Rusland en Brazilië. De tweede variant die in het weekend verscheen lijkt te zijn ontwikkeld om de ‘killswitch’ te verwijderen. Deze variant lijkt zich niet te verspreiden, mogelijk omdat er een fout in zit.

De killswitch werd afgelopen weekend per ongeluk ontdenkt door een beveiligingsonderzoeker van Malware Tech, die een onbekende domeinnaam in de malware zag en besloot deze te registreren. Achteraf bleek dit een briljante vondst. De domeinnaam bleek de zogenaamde killswitch te zijn. Voordat de worm-functionaliteit van de ransomware wordt ingeschakeld, wordt eerst gekeken of er verbonden kan worden naar het bewuste domein. Is dit het geval, dan verspreidt de ransomware zich niet verder.

WannaCry: succesvol of niet?

Tenslotte rijst nog de vraag hoe succesvol WannaCry nu daadwerkelijk is. In termen van aantal besmettingen is het zeer succesvol. Als we kijken naar de Malware Tech sinkhole voor de killswitch, die in de meeste versies van WannaCry wordt gecodeerd, zijn er ongeveer 200.000 hits geregistreerd. Daar moet bij worden vermeld dat infecties in bedrijfsnetwerken, waar een proxyserver nodig is om verbinding te maken met internet, hier niet bij zitten. Dit houdt in, dat het echte aantal slachtoffers aanzienlijk groter kan zijn. Als je echter kijkt naar het geld wat ze ermee verdienen is het een stuk minder succesvol. We kunnen dit zien aan het aantal betalingen naar de Bitcoin wallet. De grote bedrijven die door WannaCry getroffen zijn hebben hun back-ups vaak op orde. Een infectie voor hen betekent gewoon een back-up terugzetten. Vervelend, maar kan gebeuren.

Wat dat betreft zijn andere campagnes een stuk succesvoller. Wildfire richtte zich bijvoorbeeld op het MKB in Nederland en België. Met slechts 5.800 infecties hebben ze 135 bitcoins verdiend. Tegen de huidige bitcoin exchange rate is dit een bedrag van ongeveer 220.000 euro. Het is dus veel effectiever om het MKB aan te vallen dan grote bedrijven. Vaak hebben MKB-bedrijven geen back-ups, of geen beveiligingssoftware draaien. Indien zij dit wel hebben kan het soms nog goedkoper zijn om het losgeld te betalen, dan om een back-up te laten terugzetten. Het al dan niet betalen is verworden tot een simpele businesscase.

Desalniettemin adviseren wij om niet te betalen. Betalen maakt het businessmodel van ransomware succesvol en draagt er toe bij dat er meer slachtoffers vallen. Een gedeelte van de winst wordt namelijk weer geherinvesteerd.

Zo raak je niet besmet

Natuurlijk doen wij vanuit Kaspersky Lab ons uiterste best om samen met andere partijen en politie-eenheden van over de hele wereld de servers, waarop alle sleutels, staan te vinden. Er is echter geen garantie dat dit gaat lukken En daarom adviseren wij iedereen het volgende:

• Installeer de officiële patch van Microsoft om zo de kwetsbaarheid die gebruikt wordt door de ransomware wordt gedicht (er zijn ook patches voor Windows XP, Windows 8, and Windows Server 2003)
• Update je software in het algemeen – in het geval van WannaCry voorkomt dit verspreiding in je netwerk;
• Als je een beveiligingspakket hebt, zet dan de component aan die kijkt naar gedrag. In het geval van Kaspersky Lab is dit de SystemWatcher-module. Deze blokte WannaCry al voordat het überhaupt bij ons bekend was;
• Voor degenen die geen Kaspersky Lab-oplossingen gebruiken, raden wij aan om het gratis Kaspersky Anti-Ransomware Tool for Business (KART) te installeren;
• Zorg ervoor dat beveiligingsoplossingen op alle nodes van het netwerk zijn ingeschakeld;
• Voer de taak Critical Area Scan uit in de oplossing van Kaspersky Lab om de mogelijke infectie zo snel mogelijk te detecteren (anders wordt het automatisch binnen 24 uur gedetecteerd, indien deze niet uitgeschakeld is);
• Start het systeem opnieuw op na het detecteren van MEM: Trojan.Win64.EquationDrug.gen;
• Schakel SMB v1 uit als patchen niet mogelijk of moeilijk is. Dit voorkomt ook verdere verspreiding in je netwerk;
• WannaCry richt zich ook op embedded systemen. We raden aan om ervoor te zorgen dat speciale beveiligingsoplossingen voor embedded systemen zijn geïnstalleerd, en dat ze zowel anti-malwarebescherming als de standaard deny-functie hebben ingeschakeld;
• Gebruik klantenspecifieke bedreigingen voor de inlichtingendossiers om geïnformeerd te zijn over mogelijke aanvallen
• In het algemeen is het belangrijk dat er regelmatig back-ups worden gemaakt en er niet op dubieuze e-mails wordt geklikt.

Voor meer advies, tips, informatie over aangifte doen en voor het vinden van decryptietools kan gekeken worden op www.nomoreransom.org

Door: Jornt van der Wiel, Security Researcher (GReAT team) bij Kaspersky Lab Benelux