Is WannaCry de opmaat naar een veel grotere aanval?

De WannaCry-ransomware houdt ons nu al enkele dagen bezig. Deze software infecteerde systemen wereldwijd door gebruik te maken van een ouder (reeds gepatcht) lek in Windows. Hoewel velen zich afvragen hoe een lek dat al 60 dagen geleden is gefixt, alsnog zoveel systemen wereldwijd kon infecteren, blijkt dat de aanval de hackers nog niet veel geld heeft opgeleverd. Kijkende naar de aanval en de foutjes die de criminelen hebben gemaakt, vraag ik me af of deze aanval niet de eerste test, of opmaat, is naar een veel grotere aanval.

Foutjes
Er is een brede consensus in de industrie dat de verantwoordelijke criminelen een paar foutjes hebben gemaakt. Het eerste wat bijvoorbeeld opvalt aan de aanval, is het tijdstip. Wanneer je de grootste impact wil hebben met een aanval, kun je dit beter niet vlak voor het weekend doen. Dit geeft organisaties en security-leveranciers namelijk de tijd tegenmaatregelen te treffen zodat de impact snel beperkt kan worden. Bovendien zijn er in het weekend veel mensen vrij, dus is er minder kans op besmetting.

Ten tweede is het zeer ongebruikelijk om slechts met een beperkt aantal BitCoin-adressen te werken die hard gecodeerd zijn in de kwaadaardige code. Ook zijn er maar een paar BitCoin-adressen in gebruik door deze criminelen. Dit is vreemd, omdat deze adressen nu veel aandacht zullen krijgen en de transacties nauwgezet worden gemonitord. Ergens op een bitcoin exchange tussen de virtuele en echte wereld zal de anonimiteit niet meer gegarandeerd zijn.

Killswitch
De ingebouwde killswitch zou ook wel eens een ander doel kunnen hebben, namelijk het detecteren van een sandbox. Een sandbox is een afgeschermde detectieomgeving voor kwaadaardige code waarbij de klantsituatie wordt nagebootst. In tegenstelling tot een regulier systeem, zal de sandbox wel reageren op een internetverzoek, ook al is het domein niet geregistreerd. Daardoor weet de kwaadaardige code dat het in een sandbox-omgeving is beland, waardoor de code niet zal worden geactiveerd en dus niet wordt geanalyseerd. Dit is een techniek om detectie door sandbox-technologie te voorkomen. Een test voor anti anti-virus, zeg maar.

Door het domein waar de kwaadaardige code naar vraagt daadwerkelijk actief te maken, gebeurt hetzelfde en denkt de kwaadaardige code dat het in een sandbox zit en zal dus niet tot uitvoering komen. In een volgende versie van deze vorm van ransomware is de kans groot dat er geen uniek domein, maar juist een random domein wordt getest op aanwezigheid van een sandbox. Dit betekent dat het niet meer zo eenvoudig zal zijn om de software te stoppen, zoals nu wel het geval was.

Wanneer iemand besloten heeft toch te betalen, dan is het de maar de vraag of hij al zijn data wel terugkrijgt. Het aanbieden van sleutels kan op deze schaal een enorme uitdaging zijn voor de criminelen. Je dient namelijk voor de slachtoffers die betalen unieke sleutels te genereren. En dat vergt veel tijd. Als de criminelen hier geen zin in of tijd voor hebben, is het slachtoffer zowel zijn data als zijn geld kwijt.

What’s next?
De kwetsbaarheid in Windows die WannaCry gebruikt, was al een tijdje bekend. Het behoorde tot een arsenaal aan kwetsbaarheden dat is gestolen van de NSA en een maand geleden online is gezet. WannaCry is slechts een van de vele kwetsbaarheden die nu open en bloot beschikbaar is voor iedereen. Het is nog onduidelijk wie er achter deze aanval zit. Maar of het nu door een staat is gesponsord, of uitgevoerd door een doorsnee crimineel, deze uitbraak is mogelijk een eerste test of opmaat naar een grotere aanval met andere middelen. Het zal in ieder geval zeker de creativiteit van andere criminelen aanwakkeren die hetzelfde gaan proberen, maar dan zonder de gemaakte ‘foutjes’ zoals afgelopen weekend.

Voor meer informatie over WannaCry in relatie tot de Trend Micro-oplossingen, lees dit artikel.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *