Verspreiding WannaCry ransomware gestopt

De verdere verspreiding van de ransomware die vrijdag onder meer enkele ziekenhuizen in het Verenigd Koninkrijk platlegde, is een halt toegeroepen.

Het gaat om de WannaCry-ransomware, kwaadaardige software die computers platlegt door bestanden op de harde schijf te versleutelen en zo onbruikbaar te maken.

De ransomware infecteerde vrijdag computersystemen in tientallen landen, met name in het Verenigd Koninkrijk, Rusland en Spanje. De malafide software versleutelde een groot deel van de bestanden op deze computers en vroeg gebruikers vervolgens om losgeld om deze weer ontsleuteld te krijgen.

'Grootste cyberaanval'

Naast Britse ziekenhuizen zijn ook de Duitse spoorwegen en Franse autofabrikant Renault slachtoffer geworden.

Europol noemde de aanval via de WannaCry-ransomware de grootste ooit qua omvang. De in Den Haag gevestigde politieorganisatie meldde zaterdag dat er ingewikkelde internationale onderzoeken voor nodig zijn om de mensen achter de aanvallen te achterhalen.

Wel is al duidelijk dat de malware gebaseerd is op kwetsbaarheden waarvan Amerikaanse inlichtingendienst NSA gebruik zou hebben gemaakt.

Volgens een medewerker van beveiligingsbedrijf Kaspersky ligt het aantal getroffen gebruikers dat daadwerkelijk losgeld heeft overgemaakt vooralsnog erg laag.

Aanval gestopt

WannaCry zal zichzelf in zijn huidige vorm niet meer verder verspreiden. Een beveiligingsonderzoeker activeerde namelijk zonder dat hij hiervan op de hoogte was, de zogeheten 'killswitch' van de ransomware die ervoor zorgt dat de malafide software zichzelf niet meer naar andere computers verstuurt.

De onderzoeker deelde zijn ontdekking via zijn Twitter-account. Hij vond in de code van de malware een niet bestaande domeinnaam waarmee contact werd gezocht en besloot dit adres te registeren op zijn eigen naam.

Pas later bleek dat de malware zo was ontworpen dat deze zichzelf niet verder meer zou verspreiden als er succesvol met de domeinnaam contact werd gelegd. Waarschijnlijk hebben de makers van de malware deze optie ingebouwd om de aanval zelf te kunnen stoppen.

Tijdelijke oplossing

De onderzoeker, op Twitter actief onder de naam MalwareTech, benadrukt dat zijn per toeval gevonden oplossing geen permanente bescherming biedt tegen de ransomware.

De makers ervan zouden de malafide software opnieuw kunnen verspreiden zonder deze killswitch. Hij adviseert alle gebruikers van Windows daarom om zo snel mogelijk hun besturingssysteem te updaten indien mogelijk. Bovendien biedt zijn oplossing geen soelaas voor computers die al geïnfecteerd zijn.

Windows-update

Microsoft bracht in maart al een update uit voor Windows die het beveiligingslek heeft gedicht waarvan WannaCry gebruikmaakt. Desondanks wist de malware wereldwijd op grote schaal computers te infecteren, omdat deze nog niet geüpdatet waren of op een verouderde versie van Windows draaiden.

Het Amerikaanse techbedrijf bracht vrijdag daarom bij uitzondering ook een beveiligingsupdate uit voor het niet langer ondersteunde Windows XP om de kwetsbaarheid te dichten.

Bestrijding

Het overleg van de economische mogendheden G7 heeft zaterdag tijdens een bijeenkomst al direct laten weten dat ze beter gaan samenwerken in de strijd tegen cyberaanvallen.

De ministers van de G7 "onderkennen het groeiende gevaar voor onze economie dat uitgaat van deze cyberaanvallen. Er moet op een geëigende manier op worden gereageerd". Zo moet er bijvoorbeeld gezamenlijk worden gewerkt aan manieren om kwetsbare plekken in het netwerk van de financiële wereld snel te signaleren.

Nederland

Ook de Nederlandse regering wordt geadviseerd actie te ondernemen. Ronald Prins van beveiligingsbedrijf Fox-IT roept de Nederlandse regering op om van bestrijding van cybercrime een prioriteit te maken.

"De aanval laat zien dat het redelijk eenvoudig is om grote netwerken lam te leggen. Nederland is het meest digitale land ter wereld en is dus enorm kwetsbaar'", aldus Prins. Volgens hem moet er meer geld voor uitgetrokken worden. "Nederland geeft er nu 100 miljoen per jaar aan uit. Dat is niets vergeleken met andere landen. Groot-Brittannië, bijvoorbeeld, loopt voorop en geeft er 6,5 miljard euro aan uit."

Rusland

Ook Russische banken en de staatsspoorwegenzijn zouden doelwit zijn geworden van de cyberaanval, maar dat heeft volgens de Russische autoriteiten niet voor problemen gezorgd. De aanvallen zouden zijn afgeslagen.

Het Russische ministerie van Binnenlandse Zaken heeft volgens persbureau Tass gemeld dat het schadelijke virus niet is doorgedrongen tot de servers van het ministerie, omdat die Russisch zijn en een ander systeem hebben dan de getroffen computers met Windows.