Wat, hoe, wie: alles wat u moet weten over de wereldwijde cyberaanval
Wat is WannaCry?
WannaCry, ook wel Wanna Decryptor of WCry genoemd, is zogenoemde ransomware of gijzelingssoftware. Als je computer ermee geĆÆnfecteerd raakt, worden je bestanden zonder dat je het weet versleuteld. Vervolgens wordt je pc geblokkeerd en krijg je een scherm te zien waarop je gevraagd wordt om -in dit geval- 300 dollar te betalen in bitcoin, anders zullen je bestanden verwijderd worden.
Ransomware is niet nieuw. De kwaadaardige sofware doet al sinds 2012 de ronde, met als bekendste voorbeeld "CryptoLocker". Een aanval op wereldwijde schaal zoals die we afgelopen weekend hebben gezien, is wel nieuw.
VIDEO: Uitgelegd in 50 seconden: wat is ransomware precies?
Hoe heeft deze versie zich zo snel kunnen verspreiden?
Kleine en grote bedrijven, fabrieken, ziekenhuizen, scholen, winkels,... WannaCry verspreidde zich wereldwijd en razendsnel. Hoe kan dat? Ransomware wordt verspreid door geĆÆnfecteerde bestanden in e-mails. Deze specifieke versie doet echter nog iets anders. Eens een computer is geĆÆnfecteerd, probeert de software zich te kopiĆ«ren naar alle andere computers in hetzelfde netwerk via de systemen om onderling bestanden te delen.
Vandaar dat de ransomware zich zo snel kan verspreiden. WannaCry maakt daarvoor gebruik van een achterdeurtje in Windows. Een achterdeurtje waarvan de Amerikaanse inlichtingendienst NSA al langer gebruik maakte. Opvallend ook: de verspreiding van de ransomware kon gestopt worden door een jonge IT'er die toevallig een soort "noodstop" vond in de computercode.
Hoe is de NSA hier precies bij betrokken?
Het hackerscollectief Shadow Brokers zette vorige maand een groot aantal bestanden online die ze gestolen hadden van de NSA. Daarbij was ook het zogenoemde "EternalBlue", een tool bedoeld voor cyberspionage. EternalBlue maakt gebruik van een achterpoortje in Windows om kwaadaardige software binnen netwerken te verspreiden zonder dat de gebruikers er weet van hebben. De criminelen achter de Wannacry-aanval hebben er handig gebruik van gemaakt voor hun ransomware.
Wie er achter Shadow Brokers zit, is niet geweten, maar de groep wordt gelinkt aan Rusland. Dat zij verantwoordelijk zijn voor de cyberaanval, is niet erg waarschijnlijk. Wellicht zijn anderen gewoon met de gehackte bestanden aan de slag gegaan.
Waarom zijn grote bedrijven zo kwetsbaar?
Meteen nadat EternalBlue publiek verspreid was door de hackers, lanceerde Microsoft een update die het achterpoortje weer dichtmaakte. Wellicht werden ze gewaarschuwd door de NSA. Wie een volledig geĆ¼pdatete Windows-versie heeft, was dus beschermd tegen de cyberaanval.
Wie de update niet geĆÆnstalleerd had, of een versie van Windows gebruikt die niet meer ondersteund wordt (zoals XP of Vista), liep wel gevaar. En daarbij zijn veel bedrijven. Zij zitten dikwijls nog met verouderde software en ze wachten ook vaak met beveiligingsupdates omdat ze eerst willen testen wat de impact is op hun systeem.
VIDEO: Zo verspreidde de ransomware zich in 24 uur tijd.
Hoe groot is de impact?
Volgens de laatste cijfers heeft de cyberaanval meer dan 200.000 slachtoffers gemaakt in 150 landen, met daarbij overheden, grote bedrijven en zorginstellingen. In ons land is de impact beperkt gebleven. Een "handvol" kmo's heeft de ransomware binnengekregen, maar doordat ze een back-up hadden geĆÆnstalleerd, hebben ze verder onheil kunnen vermijden, laat het Centrum voor Cyberveiligheid (CCB) weten. Vandaag is de eerste werkdag na de cyberaanval, mogelijk worden er dus nog nieuwe besmettingen ontdekt.
Hoe kan ik mij beveiligen?
Als privƩ-computergebruiker kan je je goed beveiligen tegen cybercriminelen. Drie gouden regels zijn: neem regelmatig reservekopieƫn van je bestanden, gebruik recente (antivirus)software en klik niet zomaar op elke link of e-mailbijlage. Lees meer in dit artikel: "Drie gouden tips om te voorkomen dat uw computer gegijzeld wordt".
Voor bedrijven is een goede beveiliging van hun netwerk essentieel. Zij kunnen zich ook verzekeren tegen schade als gevolg van cybermisdaden.
Ik ben toch gehackt, wat kan ik doen?
Experts raden met klem af om het losgeld te betalen. Ten eerste ben je niet zeker dat je je bestanden effectief weer kan gebruiken. Cybercriminelen zijn nu eenmaal niet de meest betrouwbare personen. En ten tweede moedigt het de criminelen aan om nog verder te gaan.
Daarom is het zo belangrijk om een goeie back-up te hebben. Dan kan je die installeren en opnieuw beginnen. Een andere optie is het internet afspeuren naar een al bestaande ontcijferingscode. Dat kan bijvoorbeeld op nomoreransom.org, een initiatief van onder meer Europol. Maar mogelijk ben je dus je bestanden definitief kwijt.
Wie zit hier achter?
Dat is de vraag van ƩƩn miljoen voorlopig. Er zijn geen geloofwaardige opeisingen en er zijn ook geen voor de hand liggende verdachten. Wellicht gaat het om een criminele bende met financiƫle motieven. Al kan het ook bewust de bedoeling geweest zijn om angst aan te jagen, om een schok te creƫren.
De verantwoordelijken vinden is niet gemakkelijk. Ze laten zich betalen in bitcoin, de virtuele munt die moeilijk (maar niet onmogelijk) te traceren valt, en ze gebruiken het Tor-netwerk, waarlangs ze via het internet anoniem kunnen communiceren. Opmerkelijk, Rusland, het land dat het vaakst genoemd wordt als het gaat om hackings, is wellicht het hardst getroffen door de cyberaanval.
Is dit de voorbode van meer aanvallen?
Experts waarschuwen dat we deze aanval als een waarschuwing moeten zien en dat er dringend meer aandacht nodig is voor cybersecurity. Zo niet, zullen er nog van dit soort grootschalige aanvallen volgen.
Toch zijn er ook kenners die zeggen dat we niet meteen in paniek mogen slaan en dat de omstandigheden die de aanval van vrijdag mogelijk hebben gemaakt, met een gevaarlijk beveiligingslek in Windows en gelekte NSA-software, zich niet zo vaak voordoen. "Dergelijke wijdverspreide aanvallen blijven heel moeilijk om uit te voeren", luidt het.