Ransomware meest verantwoordelijk voor cyberaanvallen in 2017

Petya nog gevaarlijker dan WannaCry

Bedreigingen vanuit het web nemen toe. Niet alleen de internettechnologie is de laatste jaren snel geëvolueerd, hetzelfde geldt voor het kennisniveau van hackers. Grote bedrijven doen ongetwijfeld alles om geavanceerde aanvallen van hackers te blokkeren, maar toch zijn er bijna wekelijks geslaagde cyberaanvallen op de systemen van deze bedrijven. Reden om de meest spraakmakende aanvallen van 2017 eens op een rijtje te zetten.

Cyberbedreigingen komen in veelvoud tot ons, zoals in virussen, trojans, malware of wormen. De vraag is wat de verschillen zijn. Met komst van nieuwe bedreigingen krijgt de term ‘virussen’ een andere betekenis. Onder virussen worden nu kwaadaardige programma’s verstaan waarvoor enige interactie van eindgebruikers noodzakelijk is. Deze interactie geldt niet voor zogenoemde wormen, waardoor deze in potentie gevaarlijker zijn dan virussen, trojans of andere malware. De term ‘spyware’ is een onderverdeling van virussen, waarbij persoonlijke gegevens, zoals gebruikersnamen en wachtwoorden, worden gestolen. Phishing-aanvallen komen in verschillende vormen voor, via kwaadaardige e-mails of nep-webformulieren. Het uiteindelijke doel van deze laatste aanvallen is het bemachtigen van privé-informatie. Ransomware vergrendelt bestanden op systemen, die na betaling kunnen worden ontgrendeld. Malware is een meer generieke term die wordt gebruikt voor misdadige software voor het uitschakelen van systemen of het verstoren van de werking ervan. Trojans pretenderen iets anders te doen, maar zijn ook malware.

Gevaarlijke ransomware

Dit jaar werd de wereld getroffen door meerdere gevaarlijke vormen van ransomware. Dit begon in het voorjaar met een wereldwijde aanval van WannaCry malware. Wanna Decryptor, beter bekend als WannaCry, is een specifi ek ransomware-programma dat alle gegevens op een systeem blokkeert. Getroffen eindgebruikers krijgen daarna een paar dagen de tijd om, meestal met Bitcoins, te betalen waarna de bestanden (hopelijk) worden ontgrendeld.

‘Bedrijven zijn wereldwijd getroffen’

Wannacry detecties wereldwijd
Figuur 1. Overzicht van wereldwijde uitbraak WannaCry (Bron: Malware Tech) (Klik om afbeelding te vergroten)

De laatste opgedoken ransomwarevariant is Petya. Deze variant is nog gevaarlijker dan WannaCry. De Petyaransomware werd in eerste instantie verantwoordelijk gehouden voor een massale ransomware-uitbraak in Europa en de Verenigde Staten. Maar een nieuwe variant, Notpetya, schijnt de werkelijke oorzaak te zijn. Aangenomen wordt dat beide types ransomware gebaseerd zijn op Eternal Blue, een gelekte hackmethode van de National Security Agency (NSA) uit de VS. Eternal Blue is een door Microsoft gegeven naam voor een beveiligingslek in hun Windows OS. Daarvoor werd een patch uitgevaardigd die juist beschermde tegen WannaCry.

Spraakmakende aanvallen

Internationale bedrijven met hoofdvestigingen in Europa en de VS werden dit jaar op grote schaal aangevallen. Onder de getroffenen bevonden zich de Russische olie- en gasgigant Rosneft, de Deense reder Maersk en in de VS gevestigde farmaceutische bedrijven, waaronder Merck. Ook de financiële wereld werd getroffen, waaronder advocatenkantoren DLA Piper, accountants- en advieskantoor Deloitte en de onroerend goed-divisie van de bank BNP Paribas. Bedrijven in Oekraïne werden eveneens ernstig getroffen, waaronder banken, postdiensten, openbare instellingen en het metrosysteem van de hoofdstad Kiev. Het automatische stralingsdetectiesysteem van Tsjernobyl moest naar handbediening overschakelen. Ook in het Verenigd Koninkrijk werden verschillende NHS-ziekenhuizen getroffen. Zo laat het kaartje van de onafhankelijk security-onderzoeker Malware Tech zien dat uiteindelijk tenminste 1.600 bedrijven in de VS, 11.200 in Rusland en 6.500 in China werden getroffen.

Security-experts zijn er nog steeds niet achter wat de werkelijke oorzaak van deze aanvallen was. Volgens een expert van Cisco was de Oekraïense firma Medoc verantwoordelijk. Deze zou een gecompromitteerde update van haar softwarepakket hebben verzonden, daarna de computers van klanten hebben geïnfecteerd en tenslotte wereldwijd de ransomware verspreid. Inlichtingen- diensten en security-onderzoekers denken eerder aan een groep die is gelieerd aan het regime in Noord-Korea.

wannacry betaalscherm
Figuur 2. Betaalpagina voor unlocken WannaCry. (klik om afbeelding te vergroten)

Bescherming tegen ransomware

De verantwoordelijkheid bij de bescherming tegen ransomware ligt zowel bij de IT-beheerders als bij eindgebruikers zelf. Naast antivirussoftware is de beste beveiliging tegen ransomware-aanvallen een backup van alle bestanden te maken en deze in een volkomen gescheiden systeem op te slaan. Belangrijk om te realiseren, is dat cyberaanvallen eerst software op het systeem moeten downloaden voordat ze hun werk kunnen doen. De meest gebruikte methode is om virussen via gecompromitteerde e-mails en websites te installeren.


Eindgebruikers moeten daarop altijd alert zijn en bij een verdachte websites altijd zelf het webadres in vullen, in plaats van op links te klikken. Aanbevolen wordt om bij een ransom hack niet te betalen, want er is geen enkele garantie dat het virus daadwerkelijk is verwijderd.

Ransomware-as-a-service

Volgens security-experts is de ransomware-variant NotPetya nog gevaarlijker dan WannaCry. NotPetya werd waarschijnlijk door technici met een professionele achtergrond binnen de cyber criminele underground ontwikkeld. Een van de perfide karakter- istieken van Petya ransomware is dat de makers via het darknet als een affiliatiemodel aanbieden. Distributeurs van deze applicatie delen tot 85 procent mee van het geinde ransombedrag. De rest is voor de schrijver van de malware. Dit soort ‘ransomware-as-a-service’ is een groeiende bron van zorg omdat het de weg opent naar criminaliteit voor een niet-technisch misdadig publiek.

[Dit artikel is eerder gepubliceerd in het Security Dossier 2017]

Lees het artikel hier in PDF