De WannaCry (.WNCRY, Wana Decrypt0r 2.0) ransomware uitbraak is zeker het engste cybersecurity gebeurtenis van 2017, tot nu toe. De ransomware heeft de systemen van Telefonica in Spanje gecompromitteerd, evenals meerdere ziekenhuizen in het Verenigd Koninkrijk. Het heeft ook invloed gehad op de National Health Services machines in Engeland en Schotland.
Zoals voorgesteld door meerdere bronnen, zijn ook de NHS en eventuele andere organisaties getroffen omdat ze Windows XP niet hebben ondersteund over duizenden computers.
Net een paar dagen geleden benadrukte Kaspersky Lab dat de aanval “is begonnen via een externe code uitvoering van SMBv2 in Microsoft Windows. Deze exploit (codenaam “EternalBlue”) is op 14 april 2017 op internet verkrijgbaar geworden via de Shadowbrokers-dump en gepatcheddoor Microsoft op 14 Maart.”
Zoals we al hebben geschreven, zijn EternalBlue en DoublePulsare inderdaad de exploitsdie door de organisatie worden gebruikt, die WannaCry verspreiden. De exploits werden ergens over de Paasvakantie door The Shadow Brokers gelekt. Deze exploit is voornamelijk gericht op problemen in Windows-systemen en iedereen die nog steeds niet met dit virus is besmet, wordt sterk geadviseerd om hun systemen te updaten en een back-up te maken van belangrijke bestanden.
MS17-010 is een patch voor nieuwe versies van Windows, zoals Windows 7 en Windows 8.1, Windows Server 2008, Windows Server 2012 en Windows Server 2016 inclusief.
Aangezien de ransomware voortdurend evolueert en zijn distributieregelingen verandert, zijn de adviezen hierop belangrijker dan ooit.
Blokkeer geen domeinen die geassocieerd zijn met het WannaCry Ransomware
Volgens het British National Cyber Security Center:
Werk in de veiligheidsonderzoeksgemeenschap heeft een aantal potentiële compromissen voorkomen. Om hiervan te kunnen profiteren, moet een systeem verbinden met het onderstaande domein na de besmetting.
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
In tegenstelling tot de meeste malware-infecties mag uw IT-afdeling dit domein niet blokkeren.
Naast het blokkeren van WannaCry-domeinen komen veiligheids deskundigen overeen met 5 gemeenschappelijke stappen die zowel door de thuisgebruikers als door het IT-beheerder moeten worden aangenomen.
MS17-010 Moet Worden Geïnstalleerd
Zoals uitgelegd door Microsoft, “richt de beveiligingsupdate zich naar de beveiligingslekken door te corrigeren hoe SMBv1 speciale verzoeken handelt“. Het is uiterst belangrijk dat alle systeem updates worden geïnstalleerd zodra ze beschikbaar zijn. Dit is een uitstekende manier om infecties te voorkomen die worden veroorzaakt door de MS17-010-fout. Houd er rekening mee dat als uw systeem niet is bijgewerkt met deze patch, dat deze zo snel mogelijk van alle netwerken verwijderd moet worden.
Emergency Windows Patch Moet Geïnstalleerd Worden
Blijkbaar heeft Microsoft beveiligingsupdates voor noodgevallen uitgegeven voor meerdere besturingssystemen die het niet meer ondersteunt, om organisaties te beschermen tegen de onstuitbare WannaCry ransomware-uitbraak.
SMBv1 Moet Uitgeschakeld Zijn
Volgens de NSCS, als deze patches niet kunnen worden toegepast, moet SMBv1 worden uitgeschakeld. Hier is uitgelegd hoe dat gedaan moet worden.
SMBv1 Moet Worden Geblokkeerd
Als alternatieve methode moeten SMBv1-poorten worden geblokkeerd op netwerkapparaten – UDP 137, 138 en TCP 139, 445 – zoals aanbevolen door NCSC.
Volledig Afsluiten van Kwetsbare Systemen
Als een van de hierboven vermelde oplossingen niet beschikbaar is, beveelt de NCSC aan om kwetsbare systemen te beëindigen. “Als deze stappen niet mogelijk zijn, kan het voorkomen dat deze zich verspreidt, door kwetsbare systemen uit te schakelen,” stelde de organisatie voor.
