De gehele ICT-wereld was afgelopen weekend in rep en roer over de wereldwijde ransomware-aanval door het zogenoemde Wannacry programma.

Ondertussen zijn er meerdere speculaties en tegenstrijdige nieuwsberichten te vinden over de noodlottige aanval. Met dit overzicht zal geprobeerd worden om een wat duidelijker beeld te geven van de gebeurtenissen, die menig Windows-gebruiker hun computer nog huiverig laat opstarten.

Het aantal slachtoffers zit momenteel rond de 200.000 getroffen individuele IP-adressen. Juist omdat hier veel organisaties tussen zitten in plaats van particuliere gebruikers, kreeg de aanval veel internationale aandacht. In het Verenigd Koninkrijk waren verschillende systemen in ziekenhuizen de dupe. In Nederland was tot nu toe alleen Q-park geraakt door de aanval. Duitsland kwam de malafide software tegen op het systeem van haar spoorwegen en Frankrijk ontdekte de ransomware bij de autofabrikant Renault.

Het programma Wannacry maakte gebruik van een lek in bijna alle versies van Windows voor Windows 10 gevonden in de Microsoft Windows SMB server. Door middel van een speciaal verstuurd bericht naar de server kon een hacker toegang krijgen tot het systeem om daar vervolgens ransomware op te plaatsen. Wannacry scant hierbij via TCP-poort 445 naar potentiële slachtoffers. Het beveiligingslek was al op 14 maart 2017 door Microsoft gepatcht, maar veel bedrijven en andere consumenten hadden de update nog niet uitgevoerd.

Eenmaal besmet wordt doorgaans een bedrag van 300 dollar gevraagd in de vorm van bitcoins. Volgens Microsoft is de NSA deels verantwoordelijk voor de aanval, omdat het programma gebruik maakt van een exploit, die laatstgenoemde zelf ontwikkeld had. De hackersgroep Shadow Brokers hadden de exploit gestolen en op 14 april jongstleden openbaar gemaakt. De NSA had verzuimd om dit te melden aan Microsoft.

De angel is voorlopig echter wel uit de aanval van Wannacry gehaald, omdat een onderzoeker met de naam Malware Tech ontdekte, dat de ransomware een bepaald domein op probeerde te halen. De onderzoeker besloot het gezochte domein te registreren en prompt fungeerde de opvraag bij de ransomware als een kill-switch. Zodra er contact werd gelegd met de site bleek de encryptie van bestanden op te houden. Het gevaar is echter niet compleet geweken, omdat de verantwoordelijke hackers ook een versie van Wannacry kunnen uitbrengen zonder de toevallige kill-switch.