Zo neem je preventief maatregelen tegen een gijzelsoftwareaanval

Grote kans dat je in het nieuws de massale uitbraak van een nieuw ransomware genaamd WannaCry, WCry, WanaCrypt en WanaCrypt0r hebt vernomen. De op vrijdag 12 mei 2017 gestarte wereldwijde gijzelsoftwareaanval is volgens Europol de grootste in omvang ooit en heeft minimaal 230.000 computers gegijzeld in meer dan 150 landen. 

Ransomware zoals WannaCry is met name gevaarlijk omdat die zich binnen je netwerk kan verspreiden. Dit gebeurt door middel van een bekende kwetsbaarheid binnen Windows systemen van servers en werkplekken. Voor de actuele versies heeft Microsoft een aantal maanden geleden patches beschikbaar gesteld. Inmiddels zijn er ook voor oudere Windows versies patches uitgebracht. Uw systemen up-to-date houden is dan ook zeer belangrijk.

Preventief maatregelen treffen

Je kunt preventief diverse maatregelen treffen om de kans op een dergelijke aanval en impact na besmetting aanzienlijk te verminderen. Een aantal manieren zijn:

  • Actief patchen zodat je je  systemen up-to-date houdt.
  • SMBv1 uitschakelen in Windows Policies.
  • Anti-virus en anti-malware software up-to-date houden. Detectie enkel op signatures is niet meer voldoende: een Nextgen detectie op basis van gedrag invoeren is noodzakelijk.
  • Mailservers configureren zodat binnenkomende mail wordt geautenticeerd met technieken zoals Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM). Hiermee wordt e-mail spoofing voorkomen.
  • Spamfilters implementeren en e-mailverkeer scannen.
  • Back-ups maken van alle data.
  • Gebruikers trainen in het herkennen van malafide e-mails en hen bewust maken van het feit dat linkjes openen (ook via webmail) activatie van ransomware tot gevolg kan hebben.

Onze ervaren Security professionals kunnen je adviseren in en begeleiden bij het nemen van alle nodige passende maatregelen voor jouw organisatie. Wij geven graag meer specifieke informatie of beantwoorden je vragen. Neem hiervoor contact met ons op via security@axians.com. Het Security Operations Center (SOC) van Axians blijft deze en eventuele toekomstige uitbraken aandachtig monitoren, om de beschikbaarheid en integriteit van onze diensten te blijven waarborgen en je te kunnen informeren bij ontwikkelingen die mogelijk grote gevolgen hebben voor de veiligheid van je organisatie.

Toelichting op de WannaCry ransomware cyberaanval

Malware voerde een sandbox-check uit door middel van een DNS query naar een niet bestaand domein. Indien de query succesvol was probeerde de malware een HTTP sessie op te zetten naar het IP in het A record reply. Als hier een sessie op opende concludeerde de malware dat het in een sandbox draaide en voerde deze de cryptoware malware niet uit. Door het registreren van het domein heeft een onderzoeker min of meer per ongeluk de killswitch geactiveerd.

Op dit moment zijn er berichten dat er een nieuwe versie zou zijn zonder killswitch. Dit is echter onduidelijk, omdat er tevens een ‘voorloper’ in omloop lijkt te zijn zonder de SMB worm. Gezien het succes van deze campagne ligt het voor de hand dat, als die er nog niet is, een nieuwe versie beschikbaar wordt zonder deze sandbox-detectie.

In de huidige vorm heeft deze uitbraak iets bijzonders. Normaliter zou in reactie het domein iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com en IP 52.57.88.48 blokkeren in de firewall, toegevoegd worden aan IPS etc. In dit geval wil je dat juist niet doen omdat het onbereikbaar maken van deze URL en dit IP er juist voor zorgt dat de malware doorgaat met installeren en encrypten.

Uit latere informatie blijkt dat het meer IP-adressen betreft die deze Killswitch activeren. Dit zijn:

54.153.0.145
144.217.254.3
79.137.66.14
144.217.74.156

Interessante posts naar aanleiding van de uitbraak