Hacker over WannaCry: ‘De cyberaanval kon veel erger’

WannaCry is een van de grootste ransomware-aanvallen ooit. De cybercriminelen richtten zich vooral op bedrijven en instellingen. Tussen de slachtoffers zitten National Health Service-ziekenhuizen in Londen en andere regio’s in Noord-Engeland. Woordvoerders van de ziekenhuizen riepen patiënten op zich enkel in levensnoodzakelijke gevallen aan te melden. Vandaag verspreidt het virus zich niet meer verder. Al is het gevaar nog niet helemaal geweken: experts waarschuwen voor een nieuwe golf van besmettingen.

Wie achter het virus zit, is nog niet duidelijk. Aanvankelijk wezen signalen naar een hackerscollectief dat zich de Shadow Brokers noemt. Gisteravond ontdekte een security-expert bij Google een link met de beruchte Noord-Koreaanse Lazarus-groep.

In elk geval volgden de daders een beproefde methode. Hoe gingen ze te werk? Ethisch hacker Inti De Ceukelaire verduidelijkt.

Wat voor aanval was het?

Ransomware-aanvallen zijn niet nieuw. Ze maken bestanden, foto’s en andere gegevens op je harde schijf onleesbaar. Enkel als je losgeld betaalt – vaak in Bitcoin – stelt de dader de data terug beschikbaar. Het virus dat je gegevens versleutelt, kan op verschillende manieren op je computer binnenkomen. De meest voorkomende vorm is phishing: je klikt in een mail of op een website op een link die je naar de besmette software leidt.

Inti De Ceukelaire: ‘Je computer kan ook besmet raken door bepaalde poorten (Server Message Blocks of SMB’s) die openstaan naar het internet. Het WannaCrypt-virus lijkt vooral via die weg te zijn binnengeraakt.’

‘Wat speciaal was aan deze aanval, is dat de hackers een lek hebben gebruikt om het virus sneller te verspreiden van een besmette pc naar een nog onbesmette. Dat lek, EternalBlue, zit op elk Windows-toestel dat niet helemaal up to date is. Als één computer in je bedrijfsnetwerk besmet is, is de rest dat binnen de kortste keren ook. Daarnaast scant het virus willekeurige IP-adressen. Slachtoffers hoeven dus niet per se in een lokaal netwerk te zitten.’

Hoe hebben de hackers dat lek ontdekt?

De Ceukelaire: ‘Dat is speculeren. Vast staat wel dat het Amerikaanse National Security Agency (NSA) al een hele tijd wist dat EternalBlue bestond, en dat het kwetsbaar was. Het kan dus zijn dat er binnen de NSA een mol zit, of dat de hackers achter WannaCry zelf konden inbreken in de database van de NSA.’  

‘Anderzijds weten ervaren hackers dat ze veel meer schade kunnen aanrichten als ze zelf een lek vinden. In het geval van WannaCry was Microsoft voorbereid: het bedrijf kon twee maanden geleden al een update uitrollen die het lek onschadelijk maakt. Bedrijven die die update tijdig hadden uitgevoerd, hebben nu niets ondervonden van de aanval. Hadden de hackers compleet onverwacht toegeslaan via een nieuw lek, dan had Microsoft nog moeten beginnen zoeken naar het lek. Een update met een herstelpatch zou dan veel te laat zijn gekomen. Het beste advies dat je mensen in zo’n scenario kan geven, is: zet je computer niet aan. Stel je eens voor wat voor effect dat zou hebben op de wereldeconomie.’

De hackers hebben een virus, en ze hebben een lek. Wat gebeurt er nu?

De Ceukelaire: ‘Via het lek kan je je eigen code uitvoeren op de besmette computer. Dat kan op verschillende manieren, en ik weet niet hoe de hackers het hier hebben gedaan. Je zou het kunnen doen met een zogeheten buffer overflow. Om het simpel voor te stellen: elke computer schrijft bepaalde data weg in het geheugen. Dat geheugen kan een slot van tweehonderd tekens reserveren voor pakweg een naam. Als jij als hacker erin slaagt om in dat slot meer dan tweehonderd tekens te injecteren, dan creëer je zo’n buffer overflow. Met de overige tekens overschrijf je andere geheugenslots die een programma nog wil aanspreken. Als je in die slots naar je eigen code verwijst, kan je het programma dwingen om die code te laten uitvoeren. Anders gezegd: je laat het systeem denken dat jouw code een deel is van een programma.’

Was WannaCry een geslaagde aanval?

De Ceukelaire: ‘Het had vooral veel erger gekund. Een Brit ontdekte dat de hackers een noodstop hadden ingebouwd die het versleutelen van gegevens op de besmette computer stopte. Daarnaast hebben de Shadow Brokers of de Lazarus-groep ‘slechts’ 65.000 dollar opgehaald. In 2013 slaagden hackers erin verschillende tv-zenders en banken in Zuid-Korea lam te leggen. De financiële gevolgen daarvan waren pakken groter. Laat ons nu vooral hopen dat copycats geen manier vinden om de WannaCry-aanval te verfijnen.’