U zou wellicht denken dat een door ransomware geïnfecteerde pinautomaat, een scherm met vluchtinformatie op een vliegveld met daarop het bericht van een afperser of een gokautomaat die om losgeld in bitcoins vraagt tot het rijk der fabelen behoorden. Toch zijn dit allemaal voorbeelden van zaken die echt gebeurd zijn tijdens de WannaCry-uitbraak drie jaar geleden. Daarom lijkt het ons vandaag, op Anti-Ransomware Day, een goed moment om nog eens terug te kijken op deze vreemde gevallen.
Wie zou er überhaupt op het idee komen om een pinautomaat met ransomware te infecteren? Hoe valt daar losgeld mee te verdienen? De waarheid is dat de makers van WannaCry geen expliciete doelwitten voor hun malware uitkozen. De malware kwam het netwerk binnen via normale pc’s en infecteerde bijna alle apparaten die het kon bereiken via een onopgeloste kwetsbaarheid in het SMB-protocol. Dat betekent dat de ransomware tal van apparaten infecteerde die geen informatie bevatten die waardevol genoeg was om losgeld voor te krijgen. Deze apparaten waren dus eigenlijk bijkomende schade.
Veel andere soorten malware zijn vergelijkbaar, maar bij die soorten ontbreekt het aan WannaCry’s handige verspreidingsmechanisme, maar de makers van die andere cryptors delen wel hun onverschilligheid voor doelwitten. Dus soms worden apparaten die geen financieel gewin voor de aanvallers kunnen opleveren toch het slachtoffer van ransomware. Dit overzicht van de meest ongebruikelijke apparaten die door ransomware zijn geïnfecteerd laat zien hoe willekeurig de slachtoffers van zulke aanvallen kunnen zijn.
1. Medische apparatuur
De foto die in Forbes werd gepubliceerd laat het scherm van een medisch apparaat zien dat wordt gebruikt om de kwaliteit van de afbeelding die via een MRI-scanner is verkregen te verbeteren en volgt de stroom van het contrastmiddel naar de patiënt. Het is niet nodig om uit te leggen hoe belangrijk het voor een patiënt is om een tijdelijke diagnose te stellen met gebruik van een MRI-scan. En wat als zo’n apparaat terwijl het aan het werk is opeens wordt gesaboteerd?
2. Verkeerscamera’s
Cyberaanvallen raakten al lang voor de WannaCry-epidemie plaatsvond camera’s die verkeersovertredingen opnemen. Normaal gesproken ging dit echter gepaard met illegale toegang of sabotage. Maar 590 autorijders in de Australische staat Victoria mogen malware bedanken voor het feit dat ze geen boete hebben hoeven betalen. Volgens ITNews bleven de geïnfecteerde camera’s volledig operationeel. De politie inde de boetes die volgens dat specifieke bewijs waren uitgedeeld simpelweg niet omdat de bewegende overtredingen waren vastgelegd door gecompromitteerde apparaten.
3. Geldautomaten
WannaCry trof pinautomaten over de hele wereld. Het opnieuw installeren van de besturingssystemen herstelde de geïnfecteerde geldautomaten, maar dat kost tijd, zeker in het geval van massa-infectie. Bovendien zijn deze apparaten normaal gesproken met hetzelfde netwerk verbonden en beschikken ze over dezelfde bescherming, dus als het bij één automaat misgaat, geldt dat voor alle automaten. Hoewel het geld in de pinautomaten geen gevaar liep, moesten veel banken hard werken om de netwerken van hun geldautomaten opnieuw te ontwerpen, om het nog niet te hebben over hun beschadigde reputaties.
4. Vertrek- en aankomstschermen
WannaCry trof zelfs een aantal vertrek- en aankomstschermen op luchthavens en treinstations. Het is niet erg waarschijnlijk dat iemand hier losgeld zou betalen, want er staat absoluut geen waardevolle informatie op dit soort apparaten opgeslagen. Desalniettemin kost het zowel tijd als geld om zoiets op te lossen. Niet-werkende schermen op treinstations en luchthavens kunnen ook voor problemen voor passagiers zorgen. En als passagiers niet op tijd op hun bestemming aankomen vanwege malware, wie wordt er dan verantwoordelijk gehouden?
5. Reclameborden in de openlucht
Ook billboards werden slachtoffer van ransomware. Als we verder kijken dan de sarcastische opmerkingen van voorbijgangers en de irritatie van degenen die de reclameborden moeten repareren of vervangen, zijn de belangrijkste slachtoffers de adverteerders zelf, die hierdoor behoorlijke reputatieschade leden. Zij werden namelijk betaald om de video’s of reclames van hun klanten te vertonen, en de schermen lieten in plaats daarvan ransomware-berichten zien die de klantencontracten schonden. Zulke problemen kunnen bedrijven laten twijfelen of ze verder gebruik willen maken van de diensten van een reclamebureau.
6. Parkeerautomaten
Stelt u zich eens voor hoe u terugkeert naar een parkeergarage en vervolgens ziet hoe er op de parkeerautomaat om losgeld wordt gevraagd. Nu kunt u niet voor het parkeren betalen, wat betekent dat de slagboom niet opengaat als u de garage uit wilt. Maar het belangrijkste slachtoffer is hier natuurlijk de uitbater van de parkeergarage. Iedereen die nu niet in de garage kan parkeren of deze niet op tijd kan verlaten, zal boos zijn op de eigenaar.
7. Kaartjesmachines
Ook kaartautomaten werden geïnfecteerd. In San Francisco waren de kaartautomaten voor het BART-metrosysteem twee dagen lang buiten gebruik ten gevolge van een Mamba-ransomware- aanval. De aanvallers eisten $ 73.000 aan losgeld van de metro-exploitant. De getroffen partij weigerde echter (terecht) om het losgeld te betalen, en het resultaat was dat het San Francisco Municipal Transportation Agency gedwongen was om gratis metrokaartjes uit te delen tot de automaten gerepareerd konden worden
Praktische conclusies
De automaten die onbedoeld geïnfecteerd werden met ransomware, werden vooral getroffen omdat hun beheerders het niet nodig vonden om actuele beschermingssystemen te installeren en om hun besturingssystemen tijdig te updaten. Zoals we in de praktijk hebben gezien, weten veel mensen niet dat dit soort type apparaten gewoon computers zijn, dat ze op een bepaalde variant van Windows draaien en dat ze dus ook met de kwetsbaarheden van dat systeem te maken hebben.
Dus als uw bedrijf dit soort apparaten gebruikt, dan hebben we de volgende tips voor u:
- Zet deze apparaten op een apart subnet om ze van andere computers te isoleren;
- Installeer tijdig patches voor besturingssystemen;
- Installeer geschikte beschermingssystemen.
Ons productaanbod omvat gespecialiseerde bescherming voor dit soort apparaten: Kaspersky Embedded Systems Security beschermt zelfs energiezuinige embedded computers van het soort dat vaak wordt gebruikt in pinautomaten, betaalautomaten en andere vergelijkbare apparaten.