In een gedetailleerde technische blogpost staat McAfee uitgebreid stil bij de malware die gebruikmaakte van een Windows-gat dat jarenlang door de NSA werd misbruikt voordat het door criminelen werd opgepikt. Maar waren het wel criminelen? Het beveiligingsbedrijf laat dat antwoord in het midden, maar laten we even kijken naar de malware, diens doelen en diens mogelijke motivatie.

Makers hadden verstand van zaken

"Je hoort veel dat de malware prullerig in elkaar steekt, maar dat is niet het geval", zegt McAfee-CTO Raj Samani in een telefonische toelichting. De auteurs van het virus demonstreren volgens de technische analyse wel degelijk verstand van zaken te hebben, onder meer in de implementatie van een sterk encryptiecijfer, het omgaan met de sleutels en obfuscatie van de geheugenbuffer.

Dat neemt niet weg dat de makers steken hebben laten vallen. Een van de grootste missers is dat besmette systemen geen unieke identifier krijgen toegewezen. Dat betekent dat het betalingsysteem niet functioneert: als slachtoffers bereid blijken om het losgeld over te schrijven naar een van de Bitcoin-wallets, kunnen de uitbaters in de back-end niet zien welk specifiek systeem ontsleuteling aanvraagt.

Betalingsblunder

Hierdoor kregen betalende slachtoffers hun bestanden niet terug, hoewel er verhalen zijn van 'klanten' die wél een sleutel ontvingen. "Tot nu toe heeft een klein deel van de slachtoffers gemeld dat bestanden ontsleuteld zijn, maar dat lijkt geen verband te houden met de betalingsfunctie", merkt McAfee op.

Onderzoekers van het beveiligingsbedrijf namen contact op via de link 'Contact Us' aan de linkerkant van het gijzelscherm. Via het berichtensysteem vertelden de WannaCrypt-uitbaters dat de 'slachtoffers' de sleutel konden krijgen als ze een uur voor betaling hun Bitcoin-adres opgaven. Overigens is het advies uiteraard om criminelen niet financieel te ondersteunen en het ransomwareprobleem daarmee erger te maken.

Niks uit te sluiten

Het blijkt voor veel ransomaremakers lastig om crypto juist te implementeren, maar dat doet WannaCrypt juist goed. Als het doel van WannaCrypt, zoals andere grote ransomwarenamen als Cryptolocker en Locky, het werven van geld was, dan is het opvallend dat de makers juist in hun betalingsmechanisme hebben geblunderd. "We kunnen criminelen natuurlijk niet uitsluiten, maar dit is op z'n minst opvallend", aldus Samani.

Hierna: Er worden verschillende scenario's genoemd door diverse specialisten, maar neem ze met een stevige korrel zout.