WannaCry-aanval prutswerk of sabotage?

Razendsnelle versrpeiding losgeldworm WannaCry

De WannaCry-aanval verspreidde zich in nauwelijks een dag (afb: the Sun)

De aanval met de ‘losgeldworm’ WannaCry gebaseerd op spiewaar van de NSA heeft een hoop stof doen opwaaien maar volgens het Amerikaanse webblad Wired is aan alles te merken dat de aanval is opgezet door prutsers. Alles bijeen zouden de aanvallers maar enkele tienduizenden euro’s hebben opgehaald aan losgeld. Er zijn deskundigen die het voor mogelijk houden dat de aanval is opgezet om zo veel mogelijk schade te veroorzaken en niet in de eerste plaats om geld te verdienen. Er zijn al vingers die in de richting van Noord-Korea wijzen.
Een van de domste dingen die de aanvallers hebben gedaan is de ingebouwde ‘noodschakelaar’. Toen de 22-jarige Britse techblogger Marcus Hutchins de domeinnaam registeerde waarvan de kwaprog werd verzonden trad die in werking, met als gevolg dat de aanval werd ‘afgeblazen’. Daar komt bij de wat dommige manier waarmee de aanvallers je geld (bitcoins) afhandig willen maken, waardoor te achterhalen valt wat ze verdiend hebben. Ook de slordige losgeldfunctie geeft te denken. Volgens sommige analisten is het voor de boeven onmogelijk om na te gaan wie er betaald heeft en wie niet.
Een aanval van een dergelijke omvang met zoveel miskleunen roept vragen op, maar wekt ook zorg: als webboeven met een beetje verstand van zaken met dergelijke middelen aan de haal gaan, dan kunnen de gevolgen heel wat ernstiger zijn dan na deze klunzige aanval, denkt Wired.

Volgens de laatste telling hebben de WannaCry-stumpers bijna € 50 000 hebben verdiend. “Als losgeldactie is dat een katastrofe”, zegt veiligheidsonderzoeker Craig Williams van Cisco. “Veel schade, een hoop publiciteit, erg zichtbaar voor de wetshandhavers, maar met waarschijnlijk de laagste winstmarge van zelfs kleine losgeldacties.”

Ongeschikt

Dat zou er mee te maken hebben dat de WannaCry-worm niet erg geschikt is voor losgelddoeleinden, stelt Matthew Hickey van het Londense Hacker House. Hij dook in de code en ontdekte dat de worm niet automatisch verifieert of het losgeld betaald is door ze te koppelen aan een uniek bitcoinadres. De boeven moeten dat zelf uitzoeken en dat is nogal een probleem als je zoveel computers besmet. Hickey: “Dat moet je handmatig doen en uiteindelijk moet iemand erachter komen en de sleutel te sturen (om de gegijzelde computer ‘van slot’ te halen; as).” Dat kan er op uitdraaien dat, zelfs als iemand of een organisatie het losgeld betaalt, zijn/haar computer onbruikbaar blijft.
De klunzige boefjes (?) gebruikten maar vier bitcoinadressen, waardoor het ook makkelijker is te achterhalen wat ze hebben verdiend. Het lijkt op het eerste oog indrukwekkend wat de aanvallers gedaan hebben, maar in feite hebben ze niet meer gedaan dan het inbraakgereedschap van de NSA te integreren in een losgeldworm. Toen was het genie kennelijk op. Het is eigenlijk een puinhoop geworden.

Het moet gezegd worden dat losgeldwormen zich nooit eerder zo snel verspreid hebben, maar zelfs daarbij maakten de scheppers van de worm grote fouten. Vanwaar die noodschakelaar? Onderzoekers denken dat die bedoeld was om ontdekking te vermijden als de code op een virtuele proefbank zou worden gedraaid, maar die ‘schakelaar’ stelde Marcus Hutchins ook in staat, per ongeluk, de zaak stil te zetten door het ongeregistreerde domein alsnog te registreren (voor nog geen tientje).

‘Noodschakelaar’

Na het weekeinde verscheen er een aangepaste versie met een nieuw ‘noodschakelaarsadres’.De Franse veiligheidsdeskundige Matt Suiche uit Dubai registreerde onmiddellijk dat nieuwe domein, waardoor ook die poging strandde. Suiche vraagt zich af waarom de aanvallers nog geen gebruik maken van een willekeurig aangemaakt webadres in plaats van een vast. “Ik snap ook niet waarom die ‘noodschakelaar’ er is. Het lijkt weinig zin te hebben twee keer dezelfde fout te maken. Het lijkt me een logische miskleun.” Met als gevolg een magere opbrangst. Dat is eerder heel wat beter gedaan. Williams van Cisco noemt de Angler-aanval in 2015, die zo’n kleine € 50 miljoen had opgebracht.

Zoveel schade bij zo weinig opbrengst doet bij sommige veiligheidsdeskundigen de gedachte postvatten dat het helemaal niet om geld ging. Het zouden mensen kunnen zijn die de NSA voor lul willen zetten met zijn eigen gereedschap. Dat zouden zelfs de dieven van het NSA-materiaal kunnen zijn, bekend onder de naam SchaduwHandelaars (Shadow Brokers), die ook hun buit openbaar maakten. Hickey: “Ik geloof absoluut dat het mensen zijn die zoveel mogelijk schade willen aanrichten.”

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *