Was WannaCry het werk van amateurs?

Is WannaCry het werk van amateurs geweest of was de malware eigenlijk nog niet klaar om op grote schaal toe te slaan? Beeld EPA

Het wordt steeds duidelijker dat de makers van de gijzelsoftware WannaCry wat steken hebben laten vallen. De vraag is of er hier amateurs aan het werk zijn geweest, of dat de malware er eigenlijk nog niet klaar voor was om op grote schaal toe te slaan.

Nu hangt de mate van succes van internetcriminelen sterk samen met het doel van de actie. Is dat aandacht genereren, dan zou je WannaCry een doorslaand succes kunnen noemen. Toen de malware vanaf 12 mei computers begon te versleutelen en slachtoffers om losgeld vroeg in ruil voor de sleutel, werd direct groot alarm geslagen. Cybersecurityspecialisten over de hele wereld doen sindsdien onderzoek naar de herkomst van de malware en het tegenmedicijn.

Tot nu toe werden er wat betreft dat laatste kleine successen geboekt. Beveiligingsspecialisten hebben bestanden weten te ontsleutelen zonder de sleutel. De priemgetallen die gebruikt worden voor de versleuteling blijken tijdelijk opgeslagen te worden op het geheugen van de computer. Het enige minpunt: er mag alleen niet te veel tijd zitten tussen besmetting en poging tot ontsleuteling.

Ook Christiaan Beek, onderzoeker veiligheid bij McAfee had succes met het terughalen van documenten door technieken in te zetten die de politie gebruikt om gewiste bestanden op een in beslag genomen computer terug te halen. Maar, zo erkent Beek, ook dat werkt niet bij alle slachtoffers.

Beperkt succes

Als je het vanuit de daders bekijkt, dan zijn er dus gaten geschoten in hun aanvalstactiek. En dat is niet het enige. Hadden de makers van WannaCry het doel zoveel mogelijk geld te verdienen, dan is het succes van WannaCry beperkt. De schatting is dat er inmiddels zo’n 100.000 dollar aan losgeld is binnengekomen. Beek: “Dat lijkt misschien aardig wat, maar dat is weinig vergeleken de miljoenen die eerdere verspreiders van ransomware hebben verdiend.”

Bovendien is er nog iets opvallends aan de hand, stelt Beek: tot nu toe lijkt het erop dat slachtoffers die besluiten te betalen, de sleutel lang niet altijd terugkrijgen.“Hoe vreemd het ook klinkt: een goede klantenservice is belangrijk bij ransomware. Alleen als mensen denken dat ze daarmee de toegang terugkrijgen, zullen zij geneigd zijn te betalen.”

En zo bevat WannaCry meer elementen die vragen oproepen bij deskundigen. Zo vindt Albert Kramer van internetbeveiliger TrendMicro het tijdstip waarop het virus voor het eerst verscheen – vlak voor het weekend - niet het handigste. “Wanneer je de grootste impact wil hebben met een aanval, kun je dit beter niet vlak voor het weekend doen”, schrijft Kramer in een analyse van de aanval. “Dit geeft organisaties en security-leveranciers namelijk de tijd tegenmaatregelen te treffen zodat de impact snel beperkt kan worden. Bovendien zijn er in het weekend veel mensen vrij, dus is er minder kans op besmetting.”

Noodknop

En dan is er ook nog de veelbesproken noodknop, waarmee een jonge beveiligingsexpert het virus vrij snel kon stoppen. Waarom hebben de daders die ingebouwd?

Volgens Beek kun je daar op dit moment alleen nog maar over speculeren. “Wat we in ieder geval vaker zien, is dat criminelen hun nieuwe malware op kleine schaal testen. Zo kunnen ze kijken hoe succesvol het is, voordat ze op grote schaal toeslaan. Het kan zijn dat WannaCry een uit de hand gelopen experiment is.”

Ook Kramer houdt er rekening mee dat de uitbraak van WannaCry een opmaat is naar een grotere uitbraak. Die kan komen van dezelfde groep die geleerd heeft van de ‘foutjes’ uit de eerste poging. Of door anderen die door de ransomware geïnspireerd zijn geraakt.

Lees ook: Lang leve de vooruitgang! Of toch niet?

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden