Eén verdacht geval aan TU/e door ‘WannaCry’
Aan de TU/e is dit weekend één “verdacht geval” geregistreerd dat mogelijk verband houdt met de wereldwijde ransomware-aanval met WannaCry. Volgens ICT Services is deze laptop, in gebruik door een onderzoeker, direct afgesloten van het netwerk en lijkt van schade geen sprake te zijn.
Zo’n tweehonderdduizend werkplekken wereldwijd zijn volgens Thieu Mennen, afdelingshoofd backoffice bij ICT Services, dit weekend getroffen door de aanval. Vooral in Engeland troffen de aanvallers doel, onder andere bij ziekenhuizen. “Dan wéét je dat het ernstig is.”
Aan de TU/e werd volgens hem één “verdacht geval” geregistreerd via de laptop van een promovendus - aan welke faculteit wil Mennen niet zeggen. “Die laptop hebben we meteen geïsoleerd van het netwerk.” Volgens de ict-medewerker ziet het ernaar uit dat er geen onherstelbare schade is aangericht.
De mediaberichten over een wereldwijde ransomware-aanval kwamen vrijdagavond ook al gauw binnen bij ICT Services, meer specifiek bij het Computer Emergency Response Team (CERT) dat in actie komt in geval van ict-calamiteiten. In dit team, onder leiding van Peter Kerkhofs, zitten volgens Mennen techneuten vanuit “alle belangrijke takken van ict-sport” bij elkaar.
Dit team, dat ook vandaag ondersteund door de diverse teamleiders meerdere keren bij elkaar kwam, maakt eerst een analyse van de dreiging, de grootte ervan en de betekenis daarvan voor de universiteit. Ook wordt contact gelegd met SURF, de ict-organisatie voor het hoger onderwijs. “Zij doen de eerste grote mail-filtering, wij passen vervolgens ook onze eigen filters aan. Zo hebben we de grootste kans dat we alles eruit filteren.”
Mennen vervolgt: “Ook bleek dat er patches voorhanden zijn om deze aanval te kunnen tegenhouden, zowel voor Windows-omgevingen als virusscanners. Je hebt ergens een lek in je verdediging zitten; met zo’n patch plak je daar simpel gezegd een pleister op die de wond afdekt”. Een deel van die patches wordt geplakt via automatische updates, een deel is handwerk. Patches voor virusscanners zijn volgens Mennen vrijwel zonder uitzondering reactief, “die komen altijd net nadat een uitbraak is geweest. Daarmee ben je zelden een aanval vóór”.
Loskoppelen
ICT Services monitort het netwerk momenteel extra nauwgezet; zo kwam ook de aanvalspoging op de genoemde laptop van één onderzoeker in beeld, legt Mennen uit: “Bij de eerste aanval van WannaCry werd, als een gebruiker ergens op klikte, verbinding gemaakt met een server buiten de deur om van daaruit kwade software binnen te halen. Die actie hebben we gezien. Van daaruit konden we via het netwerk nagaan vanaf welke computer dat gebeurde en konden we deze meteen loskoppelen.”
Kenners (onder wie TU/e-hoogleraar Sandro Etalle) zijn het er volgens Mennen over eens dat het in dit geval geen dreiging voor alleen vandaag en morgen betreft. “Zaterdag werd al leuk gemeld dat WannaCry wereldwijd was afgeweerd, maar zondagnacht kwam ‘WannaCry 2.0’ daar al overheen. Het gaat niet meer om: ‘kijk eens wat wij kunnen’ - dit is gewoon georganiseerde criminaliteit, gericht op geld, met mensen die zich hier 24/7 mee bezighouden. Daardoor ben je ze maar moeilijk te slim af. Persoonlijk denk ik dat dit een nieuwe realiteit is waarmee we moeten dealen. Dit is niet nieuw en gaat voorlopig ook niet weg.”
Al kunnen SURF en ICT Services een hoop monitoren en ondervangen; ook de individuele gebruiker draagt verantwoordelijkheid. Mennen: “Een student is bijvoorbeeld in principe zelf verantwoordelijk voor zijn gekochte notebook. Wij hebben daar slechts heel beperkt tot geen rechten op.”
Maandagmiddag ging een TU/e-brede mail de deur uit naar aanleiding van 'WannaCry'. Een dergelijke waarschuwing is er niet voor het eerst. “Daarmee loop je het risico dat mensen denken: ‘Het zal allemaal wel, we merken er niks van’. Maar er zijn wel degelijk aanvalspogingen gedaan, ook híer. Gelukkig zijn die allemaal vroegtijdig geconstateerd en hebben we de schade kunnen beperken. Zo hebben we ook kunnen voorkomen dat er bij wijze van spreken ergens ook maar een cent losgeld betaald is - wat we ook niet zullen doen."
Geraffineerd
Mennen vervolgt: “Cybercriminelen gaan inmiddels zó geraffineerd te werk, verzamelen vooraf her en der al wat informatie over jou, waardoor je tegenwoordig vaak mail krijgt die ook echt aan jóu gericht lijkt. Met bijvoorbeeld een unsubscribe-button proberen ze je te verleiden om op een link te klikken. Het nadeel van deze aanval is bovendien dat als iemand een link of bijlage in een mail opent, deze zich als een gek gaat reproduceren over je netwerk en zo alles besmet wat niet beveiligd is. Daar kun je als individu letterlijk niks aan doen.”
Zijn advies: check regelmatig of er updates voor systemen of programma’s zijn (“wacht niet tot Windows het zelf aangeeft”) en houd je virusscanner actief en up-to-date. Én: niet klikken op mails (zowel op je TU/e-account als eventuele privémails) of links of bijlagen die je niet vertrouwt, maar ze doorsturen naar abuse@tue.nl - of jezelf melden bij de servicedesks in MetaForum of Matrix.
“Wij steken liever wat tevéél tijd in onderzoek om te bepalen of iets wel of niet verkeerd is, dan dat de gebruiker toch ergens op klikt en een hoop ellende over zichzelf of misschien zelfs zijn hele afdeling afroept. Het herstellen daarvan kost ons uiteindelijk méér tijd.”
Discussie