De ransomware die momenteel vanuit het Oosten Europa binnentrekt is niet zo venijnig als eerdere plagen als WannaCrypt en NotPetya. De nieuwe malware gebruikt geen exploit, zoals het Windows SMB-gat van de vorige keren en slachtoffers moeten zelf ergens op klikken.

Dat de malware zich toch snel lijkt te verspreiden, wijst erop dat gebruikers toch onverstandig gedrag vertonen en systeemwaarschuwingen in de wind slaan. Vandaar dat we kort ingaan op BadRabbit. Wat is deze malware precies, wat doet het en hoe bescherm je jezelf of personeel tegen besmetting? 5 vragen (en antwoorden) over BadRabbit:

1. Bevat BadRabbit een Flash-exploit?

Nee. Adobe heeft vorige week een noodpatch uitgebracht voor de browserplug-in en gebruikers geadviseerd om een in het wild misbruikt gat daarmee te dichten, dus mogelijk spelen de aanvallers in op deze waarschuwing. Het gaat bij BadRabbit om een malafide Flash-installer die via een drive-by wordt afgeleverd. Volgens Kasperksy gaat het om een aantal besmette nieuwssites die de malware serveren.

De gebruiker moet de installatie zelf goedkeuren. De oplettende gebruiker ziet dat er iets niet in de haak is. "De malware gebruikt een verlopen Symantec-certificaat", vertelt Christiaan Beek van McAfee aan Webwereld. Dat zou dus alarmbellen moeten laten afgaan. "Maar de meeste mensen zullen geneigd zijn om te klikken", zegt de onderzoeker die deze technische analyse publiceerde.

2. Wat heeft BadRabbit gemeen met NotPetya?

Er komen delen van ransowmare NotPetya terug in BadRabbit. Volgens Israëlisch beveiligingsbedrijf Intezer is zelfs 27 procent van de code 'geleend' van NotPetya. "Je ziet zeker dat er codegelijkenissen zijn en dat delen zijn hergebruikt", weet Beek. "Maar of het dezelfde actoren zijn die erachter zitten is daarmee niet zeker. Eigenlijk is dat ook niet zo relevant: het gaat erom dat we ons snel beschermen tegen nieuwe malware."

Hierna: Hoe bescherm je jezelf?

3. Is dit een ransomworm?

Het heeft wat elementen van ransomwormen als NotPetya en WannaCrypt, in de zin dat de malware eenmaal binnengekomen en geïnstalleerd het netwerk scant om andere bronnen te kunnen bereiken. De malware heeft een module die de NT Lan Manager benadert met een waslijst aan standaardwachtwoorden als "admin", "123" en "qwerty".

Je zou zeggen dat dit geen groot issue zou moeten zijn, maar miljoenen door botnets gegrepen routers doen vermoeden dat standaardwachtwoorden in de praktijk nog steeds een probleem zijn. Het grote verschil met die andere twee ransomware-aanvallen eerder dit jaar is dat er geen EternalBlue of andere (Windows-)exploit wordt gebruikt. In theorie zou dit daarom lang zo'n groot probleem niet moeten zijn.

4. Hoe bescherm ik mezelf?

"We waren er deze keer gelukkig snel bij", vertelt Beek. Nadat ESET gewag maakte van aanvallen in Oekraïense hoofdstad Kyviv en de malware zich daarna verspreidde naar onder meer Rusland en Turkije, gingen de antimalwareproducenten aan de slag met analyse en de detectie ervan.

De meeste virusscanners hebben hun definities vannacht bijgewerkt en producten van onder meer Sophos, Kaspersky, ESET en McAfee hebben updates beschikbaar die de nieuwe variant detecteren. Met vanochtend bijgewerkte engines wordt de malware opgemerkt en onschadelijk gemaakt.

Daarnaast is dit misschien een goed moment - als je geen whitelist-omgeving hebt - om personeel te wijzen op het gevaar van het installeren van software van onbekende uitgevers. Een praktijkvoorbeeld is altijd een handige aanleiding om zulke boodschappen onder de aandacht te brengen.

Op de laatste pagina: Wat is het doel?

5. Wat is het doel?

Nog een verschil met NotPetya is dat deze ransomware wél een werkend betaalmechanisme heeft. Bij WannaCrypt en NotPetya ontbrak een koppeling tussen geïnfecteerde systemen en bitcoinadressen, waardoor niet te achterhalen viel welke betaler een sleutel diende te ontvangen.

Daarmee was de winst van de ransomwareverspreiders minimaal en rees het vermoeden dat het gaat om actoren die disruptie op het oog hebben en geen criminelen die uit zijn op directe financiële winst.

"We zien nu individuele bitcoinadressen, dus aan de buitenkant lijkt het zeker op ransomware", licht McAfee's Beek toe. "We hebben in ieder geval één adres getraceerd en zien dat er een betaling is verricht."

Of dat vervolgens ook een sleutel heeft opgeleverd, is onbekend. Slachtoffers delen die informatie niet graag, want je wilt liever niet toegeven dat je geraakt bent en al helemaal niet dat je moest overgaan tot betaling omdat je security en/of back-upbeleid faalde.

Of het ransomware is van criminelen die willen verdienen of een beter verhulde staatsaanval is - het begon wederom in Oekraïne, waardoor zulke vermoedens sneller de kop op steken - is niet duidelijk. McAfee heeft al vaker aangegeven dat daders aanwijzen niet alleen lastig is, maar dat het voor security-doeleinden niet eens zo relevant is. "De eerste prioriteit is bescherming", aldus Beek.