image

Visual Basic-malware wiste duizenden computers bij casino

vrijdag 12 december 2014, 13:38 door Redactie, 4 reacties

De aanvallers die begin dit jaar op de servers van casinogigant Las Vegas Sands wisten in te breken gebruikten een Visual Basic-script van 150 regels om duizenden servers, computers en laptops van het bedrijf te wissen en zo tijdelijk onbruikbaar te maken. Dat laat Bloomberg weten.

Las Vegas Sands, eigenaar van het grootste casino ter wereld, werd het doelwit van aanvallers nadat de eigenaar een opmerking over Iran had gemaakt. Er werd eerst geprobeerd om via brute force-aanvallen toegang tot de systemen van het casino te krijgen, maar dit leverde niets op. Een aantal dagen later hadden de aanvallers meer succes toen ze een kwetsbaarheid in een ontwikkelserver ontdekten. De aanvallers gebruikten vervolgens een tool genaamd Mimikatz om wachtwoorden te achterhalen waarmee eerder op de server was ingelogd.

De aanvallers verkregen zo allerlei wachtwoorden en toegang tot bestanden. Via de server hadden ze echter geen toegang tot andere servers. Op 9 februari ontdekten ze echter de inloggegevens van een ingenieur die normaal op het hoofdkantoor werkte maar nu tijdens een zakenreis op de ontwikkelserver had ingelogd. Met deze inloggegevens kregen de aanvallers toegang tot de bedrijfsservers van het casino in Las Vegas.

Malware

Naast het downloaden van allerlei gegevens, volgens de aanvallers 827GB, installeerden ze ook de 150 regels tellende malware. De malware wiste niet alleen bestanden op servers en computers, maar liet de machines ook herstarten, zodat bestanden die nog in gebruik waren ook konden worden verwijderd. Daarnaast overschreef het Visual Basic-script de harde schijf met enen en nullen, wat het lastig maakte om de systemen te herstellen.

Op 10 februari werd de malware op het netwerk losgelaten. Het bedrijf ontdekte op dezelfde dag dat de aanvallers allerlei gevoelige gegevens hadden ingepakt om te downloaden. Daarop besloot het bedrijf de internettoegang volledig af te sluiten. Een grote stap voor het bedrijf, aangezien alles van hotelreservering tot inkopen online gebeurt.

De aanval was nog niet voorbij, want een dag later werd ook de website van het casino gedefacet. Het bedrijf is nog steeds bezig om de omvang van de schade te bepalen. Volgens mensen die bij het onderzoek betrokken zijn zou de malware driekwart van de servers hebben gewist. Het herstellen van de schade en het bouwen van nieuwe systemen zou het bedrijf mogelijk 40 miljoen dollar of meer kosten, zo liet de president vorige maand nog weten.

Reacties (4)
12-12-2014, 13:57 door Anoniem
Hmm, hoe overschrijft een visual basic script een harde schijf met nullen? Dit draait binnen Windows.
13-12-2014, 01:06 door Anoniem
Door Anoniem: Hmm, hoe overschrijft een visual basic script een harde schijf met nullen? Dit draait binnen Windows.
Beetje een vage berichtgeving van Bloomberg lijkt me. In het artikel heeft men het eers over "the Visual Basic proogramming language", maar later praat men over een script. Het gaat waarschijnlijk gewoon over een VB.NET programma dat de MBR overschrijft met een stukje code dat de hdd wipet.
13-12-2014, 08:00 door Anoniem
Gelukkig overschreef het script de harde schijf niet met tweeën en drieën (of azen en heren). Dat was pas een echte ramp geweest! ;-p
13-12-2014, 23:36 door Michelo - Bijgewerkt: 13-12-2014, 23:41
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.