Kurt Berghs
Deze domme fouten maakten de Wannacry-hackers
De voorbije week maakte een cyberaanval met de ransomware worm Wannacry meer dan 200.000 slachtoffers in 150 landen. Media wijzen met een beschuldigende vinger naar The Lazarus Group, een collectief van virus-masterminds. Maar dat betwijfel ik.
De voorbije week maakte een cyberaanval met de ransomware-worm Wannacry meer dan 200.000 slachtoffers in 150 landen. Onder meer ziekenhuizen en fabrieken werden getroffen. Het is ongezien dat een malwarevorm zich zo razendsnel wist te verspreiden. Media wijzen daarom met een beschuldigende vinger naar The Lazarus Group, een collectief van virus-masterminds. Maar dat betwijfel ik. De scripschrijvers maakten beginnersfouten die The Lazarus Group nooit zou maken. Meer zelfs, het mag een wonder heten dat toch zoveel computers besmet geraakten… Het ligt, zoals zo vaak, vooral aan laksheid bij bedrijven en goedgelovige internetgebruikers.
Lazarus Group – voorbeelden zat
The Lazarus Group heeft een notoire reputatie opgebouwd in de cybercrimewereld door een aantal in het oog springende wapenfeiten zoals het cyberspioneren van de Zuid-Koreaanse regering en een inbraak bij Bangladesh Bank, waarbij 73 miljoen euro (!) werd buitgemaakt. Niet niets. Ik betwijfel dat het ervaren hackerscollectief de rookie mistakes zou maken die in zowat elke stap van WannaCry-proces hebben plaatsgevonden.
Te vroeg gelost?
Waarom werd WannaCry bijvoorbeeld op een vrijdagmiddag verspreid en niet op maandagochtend? Op een maandagochtend had de impact veel groter geweest. Veel meer mensen aan het werk en IT-professionals krijgen geen volledig weekend de tijd om de gaten te dichten. Een slechter moment dan vrijdagmiddag kan haast niet, zou het kunnen dat het virus per ongeluk te vroeg de wereld ingeschoten werd?
Waarom zou je in hemelsnaam een kill switch in een virus verwerken?
Virus met… noodrem?
Daar komt nog eens bovenop dat Wannacry bijna toevallig tegengehouden werd. Een Britse beveiligingsexpert, MalwareTech, merkte op dat het virus verbinding maakte met een niet-bestaande website. Zodra die verbinding er was, brak de ransomware af en werden de bestanden op de besmette computer niet gegijzeld. Het domein in kwestie bleek niet geregistreerd te zijn, MalwareTech kocht de domeinnaam en als bij wonder was zo de ‘kill-switch’ van Wannacry geactiveerd. De Brit had zelf ook niet verwacht dat het zo eenvoudig zou zijn. Een pijnlijke misser voor de hackers. Het feit dat er een kill switch of noodrem in het virus zat, doet ook vermoeden dat het virus nog in ontwikkeling was en te vroeg verspreid werd. Waarom zou je in hemelsnaam een kill switch in een virus verwerken?
Follow the money
Ook aangaande het geldspoor maken de hackers enkele opvallende fouten. Het slachtoffer rekent rechtstreeks af bij de dader via de digitale munteenheid Bitcoin. Bitcoin is anoniem maar houdt wel transacties bij. Daarom is het redelijk makkelijk bij te houden hoeveel de aanvallers verdienden. Dat is – in vergelijking met alle media-aandacht die het virus te verduren kreeg en de acties die The Lazarus Group in het verleden pleegde – klein bier. Nog geen honderdduizend dollar.
De criminelen hun ook ‘after sales’ niet goed geregeld.
Daarnaast hebben de criminelen hun ‘after sales’ niet goed geregeld. In plaats van één bitcoinadres aan ieder slachtoffer te koppelen, stopten de WannaCry-verspreiders een paar algemene adressen in hun code. Het gevolg is dat de computers van slachtoffers die losgeld betalen handmatig moeten worden ontgrendeld. Een zootje. En nog erger: met die paar vaste adressen is de anonimiteit minder makkelijk vast te houden.
Nog een beginnersfout: de Windows-gebruikersnamen waren in de Coinvault-code terug te vinden. Een van de verdachten stond zelfs keurig met voor- en achternaam vermeld.
Uitstel van executie?
Ik zou niet te vroeg met een beschuldigende vinger naar The Lazarus Group wijzen. Ik verdenk eerder een hackerscollectief dat geknipt en geplakt heeft van vorige virussen. Uitendelijk is WannaCry amateurisme ten top. Dat toch een groot aantal systemen geïnfecteerd is geraakt, wijst erop dat veel organisaties geen werkend updatebeleid hebben… Is dit uitstel van executie? Het zal niet lang duren voordat er een WannaCry-variant de ronde gaat die zich niet door een simpele kill-switch laat tegenhouden. Afpersers leren van hun fouten, nu de gemiddelde computergebruiker nog.
Fout opgemerkt of meer nieuws? Meld het hier