Een beveiligingsonderzoeker activeerde zonder dat hij hiervan op de hoogte was de zogeheten ‘killswitch‘ van de ransomware, die ervoor zorgt dat de malafide software zichzelf niet verder verspreidt.
Dat liet de onderzoeker weten via zijn Twitter-account. Hij ontdekte in de code van de malware een niet bestaande domeinnaam waarmee contact werd gezocht en besloot dit adres te registeren op zijn eigen naam.
Pas later bleek dat de malware zo was ontworpen dat deze zichzelf niet verder meer zou verspreiden als er succesvol met de domeinnaam contact werd gelegd. Waarschijnlijk hebben de makers van de malware deze optie ingebouwd om zelf de aanval stop te kunnen zetten.
Tijdelijke oplossing
De onderzoeker, op Twitter actief onder de naam MalwareTech, benadrukt dat zijn bij toeval gevonden oplossing niet permanente bescherming biedt tegen de ransomware.
De makers ervan zouden de malafide software opnieuw kunnen verspreiden zonder deze killswitch. Hij adviseert alle gebruikers van Windows daarom om zo snel mogelijk hun besturingssysteem te updaten indien mogelijk. Bovendien biedt zijn oplossing geen soelaas voor computers die al geïnfecteerd zijn.
Windows-update
Microsoft bracht in maart al een update uit voor Windows die het beveiligingslek waarvan WannaCry gebruikmaakt dichtte. Desondanks wist de malware wereldwijd op grote schaal computers te infecteren, omdat deze nog niet geüpdatet waren of op een verouderde versie van Windows draaiden. Het Amerikaanse techbedrijf bracht vrijdag daarom bij uitzondering ook een beveiligingsupdate uit voor het niet langer ondersteunde Windows XP om de kwetsbaarheid te dichten.
De ransomware infecteerde vrijdag computersystemen in tientallen landen, met name in het Verenigd Koninkrijk en Spanje. De malafide software versleutelde een groot deel van de bestanden op deze computers en vroeg gebruikers vervolgens om losgeld om deze weer ontsleuteld te krijgen.
Volgens een medewerker van beveiligingsbedrijf Kaspersky ligt het aantal getroffen gebruikers dat daadwerkelijk losgeld heeft overgemaakt vooralsnog erg laag.
Reacties
In reactie op de cyberaanval riep Ronald Prins van beveiligingsbedrijf Fox-IT de Nederlandse regering op om van bestrijding van cybercrime een prioriteit te maken.
“De aanval laat zien dat het redelijk eenvoudig is om grote netwerken lam te leggen. Nederland is het meest digitale land ter wereld en is dus enorm kwetsbaar’”, aldus Prins. Volgens hem moet er meer geld voor uitgetrokken worden. “Nederland geeft er nu 100 miljoen per jaar aan uit. Dat is niets vergeleken met andere landen. Groot-Brittannië, bijvoorbeeld, loopt voorop en geeft er 6,5 miljard euro aan uit.”
Wereldwijde samenwerking
De economische overleggroep G7 heeft al aangekondigd beter samen te gaan werken in de strijd tegen dergelijke cyberaanvallen. De ministers van Financiën en centrale bankiers van de zeven vooraanstaande en rijke westerse landen zijn zaterdag in Italië bijeen.
De ministers van de G7 “onderkennen het groeiende gevaar voor onze economie dat uitgaat van deze cyberaanvallen. Er moet op een geëigende manier op worden gereageerd”. Zo moet er bijvoorbeeld gezamenlijk worden gewerkt aan manieren om kwetsbare plekken in het netwerk van de financiële wereld snel te signaleren.
Het is nog niet bekend wie achter de grootschalige cyberaanval zit. Wel is duidelijk dat de malware gebaseerd is op kwetsbaarheden waarvan Amerikaanse inlichtingendienst NSA gebruik zou hebben gemaakt.