® 
Worm (computerworm)
Definitie
Een computerworm is malware die zich automatisch verspreidt over netwerken zonder tussenkomst van een gebruiker. In tegenstelling tot een virus heeft een worm geen host-bestand nodig — het kopieert zichzelf zelfstandig.
Een computerworm is malware die zich automatisch verspreidt over netwerken zonder tussenkomst van een gebruiker. In tegenstelling tot een virus heeft een worm geen host-bestand nodig: het kopieert zichzelf zelfstandig. De WannaCry-worm trof in 2017 meer dan 200.000 systemen in 150 landen en veroorzaakte miljarden dollars schade.
Hoe werkt een computerworm?
Een worm verspreidt zich door actief te zoeken naar kwetsbare systemen in het netwerk. Het scant IP-adressen op open poorten en bekende kwetsbaarheden, exploiteert deze automatisch en kopieert zichzelf naar het gecompromitteerde systeem. Dit proces herhaalt zich exponentieel, waardoor een worm zich in minuten over duizenden systemen kan verspreiden. Wormen misbruiken netwerkkwetsbaarheden (zoals EternalBlue), e-mailsystemen, gedeelde netwerkschijven of zwakke wachtwoorden als verspreidingsmechanisme.
Bekende wormincidenten
WannaCry (2017) combineerde de EternalBlue SMB-exploit met ransomware en verspreidde zich razendsnel over ongepatchte Windows-systemen wereldwijd. NotPetya (2017) verspreidde zich via een gecompromitteerde update van Oekraiense boekhoudsoftware en veroorzaakte meer dan 10 miljard dollar schade, waarmee het de duurste cyberaanval in de geschiedenis werd. Code Red (2001) infecteerde in 14 uur meer dan 350.000 systemen via een kwetsbaarheid in Microsoft IIS. Slammer (2003) infecteerde 75.000 systemen in 10 minuten.
Impact voor organisaties
De snelheid waarmee wormen zich verspreiden maakt ze bijzonder gevaarlijk. Een enkele kwetsbare machine kan het startpunt zijn voor een organisatiebrede infectie binnen minuten. Wormen worden vaak gebruikt als drager voor ransomware, backdoors of andere malware. De schade omvat productiestilstand, herstelkosten, dataverlies en reputatieschade. NIS2 verplicht organisaties tot adequate patchmanagement en netwerksegmentatie.
Bescherming
Timely patching is de belangrijkste bescherming tegen wormen: de meeste wormen exploiteren bekende kwetsbaarheden waarvoor al patches beschikbaar zijn. Netwerksegmentatie beperkt de verspreiding als een worm toch binnendringt. IDS/IPS detecteert wormachtige scanactiviteit. Firewall-regels blokkeren onnodige netwerkverbindingen. EDR detecteert wormgedrag op endpoints.
Hoe DEFION helpt
DEFION biedt Continuous Vulnerability Management dat kwetsbaarheden identificeert die wormen kunnen exploiteren. Netwerksegmentatie-assessments evalueren of de architectuur bestand is tegen wormverspreiding. Bij een wormuitbraak staat het 24/7 DFIR-team klaar.