De gisteren gestarte wereldwijde gijzelsoftwareaanval is volgens Europol de grootste in omvang ooit. De Cybercrime Taskforce van de Europese politieorganisatie neemt deel aan een grootschalig internationaal onderzoek naar de daders. Onder meer Britse ziekenhuizen ondervonden veel last, maar ook grote ondernemingen zoals Deutsche Bahn, Renault en Telefónica. Nederland lijkt vooralsnog de dans te ontspringen.
Europol, waarvan het hoofdkantoor in Den Haag staat, houdt in samenwerking met de Nederlandse politie en een aantal ict-bedrijven een website in de lucht waar tips over het voorkomen en omgaan met gijzelsoftware staan: www.nomoreransom.org.
Het National Cybersecuritycenter (NCSC) stelt dat er nog geen meldingen bekend zijn die duiden op een toename van besmettingen met ransomware in Nederland. Een onderzoeker van MalwareTechblog heeft een zogeheten kill-switch in de ransomware gevonden en het domein hiervoor geregistreerd. Als de ransomware verbinding kan maken met dit domein stopt de infectie en verspreiding, aldus NCSC.
Wannacry
Microsoft heeft, meldt NCSC, bevestigd dat de ransomware voor verspreiding gebruik maakt van MS17-010 en heeft patches beschikbaar gesteld, ook voor niet-ondersteunde versies van Windows. Het NCSC adviseert om patches voor deze kwetsbaarheid zo snel mogelijk te installeren.
Kaspersky rapporteert dat het 45.000 aanvallen in 74 verschillende landen heeft gezien, met name in Rusland. Nederland komt niet in de top twintig voor. Volgens externe analyses gaat het om een variant van de Wannacry-ransomware. Ransomware-verspreiding gebeurt vaak via campagnes. De huidige campagne van Wannacry lijkt veel groter te zijn dan alle eerder geobserveerde campagnes, aldus NCSC.
Volgens de eerste analyses komt de ransomware initieel via e-mail binnen. Vervolgens verspreidt deze zich via een SMB-kwetsbaarheid op het interne netwerk als een worm. Deze verspreidingsvorm zorgt ervoor dat de ransomware in vrij korte tijd binnen een bedrijf veel systemen infecteert.
