Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Grote activiteit van pogingen tot ransomware besmettingen [update]

Nieuws | 18-05-2017

Op 12 mei 2017 is er een grote activiteit van pogingen tot ransomware besmettingen waargenomen die vooral in het buitenland veel besmettingen heeft veroorzaakt. Bij het NCSC zijn nog geen meldingen bekend die duiden op een toename van besmettingen met ransomware in Nederland.

Update 18 mei 2017

Momenteel zijn er geen indicaties dat de WannaCry-ransomware infecties heeft veroorzaakt bij Nederlandse organisaties uit de vitale sectoren en de overheid. Het NCSC ziet wel dat er nieuwe varianten van ransomware/malware worden ontwikkeld die gebruik maken van dezelfde kwetsbaarheid. Op dit moment schatten wij de impact van deze nieuwe varianten echter in als gering. Enerzijds vanwege de maatregelen die zijn genomen naar aanleiding van ons advies om de kwetsbaarheid te updaten, anderzijds vanwege de geringe impact die WannaCry tot nu toe in Nederland heeft gehad.

Het NCSC blijft vanzelfsprekend de ontwikkelingen nauwlettend volgen.

 

Update 15 mei 2017

Nog altijd zijn er geen Nederlandse organisaties uit de vitale sectoren en overheid bekend die getroffen zijn door een besmetting met Wannacry-ransomware. Het NCSC is bekend met een zeer beperkt aantal infecties bij andere organisaties in Nederland.

Het is waarschijnlijk dat het afnemende aantal berichten van nieuwe infecties vooral het gevolg is van de activatie van de killswitch. Systemen die nog steeds kwetsbaar zijn, kunnen alsnog ten prooi vallen aan een nieuwe variant of andere malware die dezelfde kwetsbaarheid misbruikt.

Het NCSC blijft vanzelfsprekend alert op nieuwe ransomwarevarianten die zich in de toekomst voordoen. Indien nodig zullen we onze partners hierover tijdig informeren.

 

Update 14 mei 2017

Tot nu toe zijn er geen Nederlandse organisaties uit de vitale sectoren en overheid bekend die getroffen zijn door een besmetting met WannaCry ransomware. Ondanks geruchten in de media is er bij het NCSC tot nu toe geen variant van de WannaCry ransomware bekend die geen killswitch heeft. Het NCSC houdt er rekening mee dat er een nieuwe variant van de ransomware kan komen die geen gebruik maakt van een killswitch. Het NCSC blijft alert op mogelijke mutaties van de WannaCry ransomware.

 Het NCSC adviseert:

  • Om te voorkomen dat geïnfecteerde systemen (bijvoorbeeld via laptops) verbinding maken met het interne netwerk.
  • Ter voorkoming van een besmetting, zorg ervoor dat de recente updates zijn geïnstalleerd.
  • Zorg ervoor dat SMB niet bereikbaar is via het internet.
  • Draag zorg voor de bereikbaarheid van de killswitch-domeinen door de ransomware.
  • Het blijft verstandig om geen onbekende bestanden of links uit onbekende emails te openen.
  • Zie ook het Bestuurlijk Advies cryptoware van de Politie en het NCSC[10].

Update 13 mei 2017

Een onderzoeker van MalwareTechBlog heeft een killswitch gevonden in de ransomware en het domein hiervoor geregistreerd[8]. Als de ransomware verbinding kan maken met dit domein stopt de infectie en verspreiding.

Microsoft heeft bevestigd dat de ransomware voor verspreiding gebruik maakt van MS17-010 en heeft patches beschikbaar gesteld, ook voor niet-ondersteunde versies van Windows[9].

Het NCSC adviseert om patches voor deze kwetsbaarheid zo snel mogelijk te installeren.

 

Originele bericht

Diverse bronnen melden dat er internationaal een toename is van pogingen tot besmetten met ransomware [0]. Er zijn berichten over besmettingen in Spanje[0] en later in Engeland[5].

Kaspersky rapporteert dat zij 45.000 aanvallen in 74 verschillende landen hebben gezien, met name in Rusland. Nederland komt daar niet in de top 20 voor.

In de eerste berichten werd aangegeven dat de ransomware gebruik maakt van bekende kwetsbaarheden, waarvoor Microsoft onlangs updates heeft uitgegeven [1][2] om deze te verhelpen. In opvolgende analyses is alleen het misbruik van de SMB kwetsbaarheid MS17-010 bevestigd. Het NCSC heeft op 14 maart een beveiligingsadvies geschreven over MS17-010 en op 26 april heeft het NCSC via een nieuwsbericht gewaarschuwd over geconstateerd actief misbruik van MS17-010.

Volgens externe analyses gaat het om een variant van de "WannaCry" ransomware [6]. Ransomware verspreiding gebeurt vaak via campagnes. De huidige campagne van WannaCry lijkt veel groter te zijn dan alle eerder geobserveerde campagnes.

Volgens eerste analyses komt de ransomware initieel via email binnen. Vervolgens verspreidt deze zich via een SMB kwetsbaarheid[2][3] op het interne netwerk als een worm. Deze verspreidingsvorm zorgt ervoor dat de ransomware in vrij korte tijd binnen een bedrijf veel systemen kan infecteren. 

Bij het NCSC zijn op dit moment nog geen meldingen bekend die duiden op een toename van besmettingen met ransomware in Nederland.

Let extra op bij het openen van e-mail uit niet-vertrouwde bronnen. Het NCSC adviseert, zoals altijd, om systemen tijdig en volledig te updaten met de meest recente beveiligingsupdates.

 

[0] http://www.reuters.com/article/us-spain-cyber-idUSKBN1881TJ

[1] https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2017-0229+1.00+MS17-010+Microsoft+verhelpt+kwetsbaarheden+in+Windows+SMB+Server.html

[2] https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2017-0446+1.00+Meerdere+kwetsbaarheden+in+Microsoft+Office+verholpen.html

[3] https://www.ncsc.nl/actueel/nieuwsberichten/actief-misbruik-van-shadowbrokers-exploits.html

[4] https://www.politie.nl/binaries/content/assets/politie/nieuws/2013/bestuurlijk-advies-cryptolocker-docx.pdf

[5] https://www.security.nl/posting/514578/Britse+ziekenhuizen+massaal+getroffen+door+ransomware

[6] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

[7] http://nos.nl/artikel/2172840-waarschuwing-voor-grote-internationale-gijzelsoftware-campagne.html

[8] https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

[9] http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 [10] https://www.ncsc.nl/actueel/nieuwsberichten/bestuurlijk-advies-politie-back-up-tegen-cryptoware.html

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017