Op 12 mei infecteerde WannaCryptor (WannaCry)-ransomware familie duizenden computers overal ter wereld. In amper 24 uur piekte het aantal infecties naar 1850.000 computers in meer dan 100 landen.
De aanval is bijzonder gevaarlijk voor bedrijven, omdat het zich tot slechts één werknemer richt om de infectie van daaruit te verspreiden naar het volledige netwerk en soms over de grenzen heen en naar partnerbedrijven, zonder dat er enige interactie vereist is. Dit is zo omdat de ransomware een wormcompontent heeft, die een recent ontdekte kwetsbaarheid gebruikt, zodat een groot aantal besturingssystemen van Windows werden aangetast, onder andere 2008, 2008 R2, 7, 7 SP1.
De aanvallen hebben gezorgd voor massale storingen in ziekenhuizen, telecombedrijven en gas- en nutsbedrijven. Een van de organisaties die de grootste impact moest verwerken, is de National Health Service (NHS) in het UK. En dat zijn maar een paar voorbeelden.
Traditionele ransomware is nog steeds een van de meest voorkomende dreigingen voor kleine tot grote bedrijven overal ter wereld. Terwijl dit gewoonlijk verspreid wordt via kwaadaardige e-mailbijlagen, browsers of externe handelingen, maakte WannaCry de exploitatie van de kwetsbaarheid in de meeste versies van Windows automatisch.
Waarom is dit zo gevaarlijk? Gewoonweg omdat een aanvaller van op afstand een code kan uitvoeren op de kwetsbare computer en deze code kan gebruiken om ransomware te installeren, zonder dat er menselijke en plaatselijke actie vereist is. Dit gedrag, dat nooit eerder werd vertoond, maakt van deze ransomware het perfecte instrument om specifieke omgevingen of infrastructuren aan te vallen, zoals servers die een kwetsbare versie van Server Message Block (SMB-protocol) gebruiken.
Onze “ Memory introspection “ en Anti-Exploit technologie en zelflerende algoritmen van de nieuwste generatie zorgen ervoor dat onze klanten steeds veilig waren voor WannaCry, de meest agressieve ransomware ter wereld. Bovendien zullen ze OOK op dezelfde manier beschermd worden tegen een volgende gelijkaardige aanval.
Klanten die Bitdefender GravityZone en Bitdefender Hypervisor Introspection gebruiken, zijn tegen deze aanvalsgolf beschermd direct vanaf het eerste begin en worden niet aangetast door deze nieuwe ransomware familie, omdat onze producten zowel de afleveringsmechanismen als alle varianten van de WannaCry-ransomware die tot nu toe bekend zijn, onderscheppen.
De leermodellen voor computers van Bitdefender, die in alle versies van Bitdefender GravityZone beschikbaar zijn, zijn specifiek ontworpen om nooit eerder geziene aanvallen op te vangen voordat ze ten uitvoer worden gebracht.
Specifiek voor deze aanvalsgolf slaagt een leermodel voor computers op het endpoint, dat in 2013 door de Bitdefender-laboratoria werd ontwikkeld, erin om deze ransomware variant op te sporen en te blokkeren.
Bovendien slaagt de reviolutionaire Hypervisor Introspection van Bitdefender erin om, als enige op de beveiligingsmarkt, virtuele servers te beschermen tegen de invoermechanismen van deze aanvallen (de exploitatietechniek MS17-010, ook wel EternalBlue genoemd).
Wat belangrijker is, is dat Bitdefender Hypervisor Introspection erin slaagde om de exploitatie van de kwetsbaarheid te voorkomen, ruim voordat deze voor Microsoft bekend was en er een patch voor gemaakt werd.
Hier ziet u een demo die toont hoe Hypervisor-introspectie EternalBlue weet te verslaan