Nieuws

100 bedrijven met kwaadaardig PowerShell-script besmet

woensdag 8 februari 2017, 11:01 door Redactie, 3 reacties

Onderzoekers hebben meer dan 100 bedrijven ontdekt die met een kwaadaardig PowerShell-script zijn besmet dat zich in het Windows Register verbergt. Dat laat het Russische anti-virusbedrijf Kaspersky Lab vandaag weten. Het gaat om gerichte aanvallen tegen onder andere banken in verschillende landen.

De meeste infecties werden in de Verenigde Staten waargenomen, gevolgd door Frankrijk en Ecuador. De aanvallers maken voornamelijk gebruik van legitieme tools zoals Metasploit en Microsoft SDelete en laten hun code in het geheugen draaien. Daardoor blijven er weinig sporen van een infectie achter als de machine wordt herstart en is het lastig om de aanval aan een groep toe te schrijven. Wie er achter de aanvallen zit is dan ook onduidelijk.

Om de kwaadaardige PowerShell-scripts binnen bedrijfsnetwerken uit te voeren maken de aanvallers gebruik van bekende kwetsbaarheden waarvoor beveiligingsupdates beschikbaar zijn, maar die niet door de organisaties in kwestie zijn geïnstalleerd, zo laat Kaspersky Lab tegenover Security.NL weten. Om welke kwetsbaarheden het precies gaat wil het anti-virusbedrijf, om getroffen organisaties te beschermen, niet zeggen. Volgende maand zullen er meer details over de aanvallen bekend worden gemaakt.

ING laat klanten betaalverzoek via Apple iMessage versturen

Google patcht 58 beveiligingslekken in Android

Reacties (3)

08-02-2017, 11:10 door Anoniem

Hoewel ik al jaren geen Windows meer gebruik, heb ik mij altijd afgevraagd waarom het Windows Systeem Register zo slecht beveiligd was. En nu lees ik dit verhaal hierboven. Wanneer gaat Microsoft hier eens werk van maken?

08-02-2017, 16:33 door Anoniem

Door Anoniem: Hoewel ik al jaren geen Windows meer gebruik, heb ik mij altijd afgevraagd waarom het Windows Systeem Register zo slecht beveiligd was. En nu lees ik dit verhaal hierboven. Wanneer gaat Microsoft hier eens werk van maken?

In het artikel wordt expliciet gezegd dat de code in het geheugen draait van de machine en na opstarten verdwenen is. Wat dus inhoud dat er geen registery keys worden aangemaakt.

08-02-2017, 16:35 door Anoniem

Ik denk dat je opmerking dus ook achterhaald is ;-)

Er staat duidelijk:
Om de kwaadaardige PowerShell-scripts binnen bedrijfsnetwerken uit te voeren maken de aanvallers gebruik van bekende kwetsbaarheden waarvoor beveiligingsupdates beschikbaar zijn, maar die niet door de organisaties in kwestie zijn geïnstalleerd

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer