WannaCry - De reconstructie vanuit Motiv

Gepost op: 19-5-2017 13:27:50 door Bastiaan Bakker
Tags: Motiv, ransomware, SOC, WannaCry
Bastiaan Bakker
WannaCry - De reconstructie vanuit het Motiv Security Operating Center (SOC) in 4 stappen

Vrijdag 12 mei kwamen er talloze berichten via verschillende nieuwskanalen binnen over nieuwe ransomware die als een olievlek complete bedrijfsnetwerken gijzelt en deze alleen vrijgeeft in ruil voor losgeld in de vorm van Bitcoins.

Zo was er een arts van de National Health Service in Engeland die aangaf zijn werk niet meer te kunnen doen doordat vitale systemen van het ziekenhuis waren gegijzeld. Nog diezelfde dag kwam het NCSC met een spoedmelding voor de overheidssectoren met de feiten over de nieuwe uitbraak en handreikingen hoe hier mee om te gaan.

De verdenking was in eerste instantie dat deze ransomware, nu bekend als WannaCry, door criminelen middels nepberichten werd verstuurd naar slachtoffers binnen het bedrijfsnetwerk in de hoop dat het slachtoffer op de bijlage of een link klikt waarna de ransomware zich kan nestelen in de PC van het slachtoffer. Tot overmaat van ramp nestelt de ransomware zich niet alleen in de PC, maar gaat het direct op zoek naar naburige kwetsbare systemen in het lokale netwerk om deze ook te infecteren. Dit betekent in de praktijk dat ransomware zich als een olievlek razendsnel verspreidt over grote delen van het netwerk.

Motiv heeft vanuit het Motiv Security Operating Center (SOC) veel ervaring met het voorkomen dan wel beperken van dergelijk aanvallen op basis van beveiliging, monitoring en vroegtijdige detectie.

Een reconstructie van de bevindingen en acties van het Motiv Security Operating Center van vrijdag 12 mei en zaterdag 13 mei op een rij:

Stap 1 - Detectie: Is er sprake van een besmetting?

Het Motiv Security Operating Center (SOC) verzamelt continu de logbestanden van relevante systemen in het IT-landschap van onze klanten. Door terug te kijken in de tijd stellen de analisten van het SOC vast dat de ransomware zich tot dat moment nog niet hebben genesteld in de systemen die door Motiv worden bewaakt. Er is dus hoogstwaarschijnlijk nog geen sprake van een besmetting.

Stap 2 - Analyse: Is er voldoende weerbaarheid?

Samen met het Network Operating Center wordt vastgesteld of de preventieve weerbaarheid van verschillende filters correct zijn ingesteld en of deze filters inkomende berichten met patronen van WannaCry herkennen, blokkeren en direct doorsturen naar het SOC. Er kan worden geconstateerd dat zowel de firewalls, webfilters, e-mailfilters als de DNS resolving filters verdacht verkeer zoals dat van WannaCry preventief blokkeren. Dit betekent dat kans op besmetting via internet zeer klein is. Bij een poging tot besmetting is er sprake van een alarmmelding.

Stap 3 - Oplossing: Patches voor kwetsbare systemen

Een structurele oplossing is het installeren van patch MS17-010 op alle kwetsbare systemen zoals PC’s, automaten, sensoren en andere netwerkapparatuur. Voor die netwerken waar vulnerability managementdiensten draaien geeft het SOC een concreet advies over welke systemen met spoed van patch MS17-010 moeten worden voorzien. Op deze manier weten we zeker dat besmetting van binnenuit, of via een “achterdeur” onmogelijk wordt. Naast de actuele Windows platformen heeft Microsoft met spoed ook patches ontwikkeld voor verouderde Windows platformen.

Stap 4 - Preventie: Wat te doen bij mutaties van WannaCry?

Net als menselijke virussen kunnen computervirussen zich muteren waardoor bestaande maatregelen niet meer werken. De ransomware wordt resistent tegen bestaande maatregelen. Dit geldt ook voor de WannaCry ransomware. Criminelen vervolmaken en verbeteren de ransomware. Maatregelen met een preventieve werking blijven u beschermen tegen deze mutaties.

Lees ook:

Check Point - Background on the attack
Check Point - Sandblast Forensics Report
Forcepoint Security Labs
RedSocks - Weerbaarheid tegen WannaCry
Qualys TCM - Detectie van kwetsbare systemen