Shamoon-aanval die duizenden pc's wiste begon met macro
Een aanval die eind vorig en begin dit jaar plaatsvond en waarbij de harde schijven van duizenden computers in Saoedi-Arabië en andere golfstaten werden gewist, begon met een kwaadaardige macro. Dat stellen onderzoekers van IBM, Palo Alto Networks en SecureWorks in nieuwe analyses.
De recente aanvallen hadden veel overeenkomsten met de Shamoon-malware die in 2012 al 30.000 computers van de Saoedische oliegigant Saudi Aramco saboteerde. Hoe deze nieuwe variant, Shamoon 2 genaamd, zich verspreidde was echter onbekend. Wel was duidelijk dat de aanvallers toegang tot het netwerk van de aangevallen organisaties hadden voordat de computers werden gewist, aangezien Shamoon 2 wachtwoorden van beheerders gebruikte.
Onderzoekers stellen nu dat de aanvallers e-mails met afgekorte links naar Excel- en Word-documenten verstuurden. Hiervoor werden gespoofte en mogelijk ook gehackte websites van de Saoedische overheid alsmede Egyptische en Saoedische bedrijven gebruikt. Daardoor leek het om een legitiem document te gaan. In werkelijkheid bevatte het document echter een kwaadaardige macro. Zodra gebruikers de macro inschakelden werd de PupyRAT-malware geïnstalleerd.
Eenmaal actief verzamelde deze malware de wachtwoorden van systeembeheerders en bracht belangrijke systemen in kaart. Vervolgens werd Shamoon 2 gelanceerd die harde schijven van besmette computers wiste en de systemen zo onbruikbaar maakte. Volgens de onderzoekers laat de aanval zien dat organisaties hun werknemers moeten onderwijzen over het gevaar van gerichte phishingmails en afgekorte links. Daarnaast moeten organisaties macro's in Microsoft Office-producten uitschakelen.
Een tussenvorm is om macro's niet automatisch te laten uitvoeren, en de gebruiker om toestemming te vragen. Veel gebruikers klikken echter op alles wat voor hun neus verschijnt, als ze hun werk maar kunnen doen.
Wie weet een werkbare en veilige oplossing?
Want? Open standaarden ondersteunen geen macro's? Of wellicht niet de macro's die nu voor excel en word geschreven worden. Want een product zonder macro-support is niet echt een product.
En je zal zien, zodra er genoeg "klanten" die open standaarden gebruiken zal ook dat de aandacht trekken van de criminelen (of de NSA natuurlijk)...
Maar wel het radartje waardoor het hele rad kon draaien....
Want? Open standaarden ondersteunen geen macro's? Of wellicht niet de macro's die nu voor excel en word geschreven worden. Want een product zonder macro-support is niet echt een product.
En je zal zien, zodra er genoeg "klanten" die open standaarden gebruiken zal ook dat de aandacht trekken van de criminelen (of de NSA natuurlijk)...
In LibreOffice kan je wel onder de security tab Macro's inschakelen en uitgebreid configureren.
Het is alleen niet erg nodig want MicrosoftMalwareMicro's werken niet in open standaard LibreOffice.
Hoewel LibreOffice steeds groter wordt en veel gebruikers kent is het nog lang geen standaard.
En zolang het geen standaard is wordt er geen tot vrijwel malware voor geschreven.
Ja, dat kan je security by obscurity noemen, maar hoe je het noemt zal de eindgebruiker wordt wezen als het werkt.
En dat is een ding wat zeker is.
Net als dat het vrij zeker is dat aan dit security voordeel voorlopig weinig zal veranderen.
Gratis en veilig, wat wil je nog meer?
O, een m$ stickertje erop?
Nee, dat zit er niet in, alhoewel, ms is druk bezig zich in opensource producten al deelnemend en implementerend in te graven. Maar voorlopig komt er geen ms stickertje op Libre Office en is het dus een veilig en echt gratis pakket.
Wellicht naspelen met soortgelijke werkplekken en gebruikeraccounts en de gebruikers email openen en op die links klikken?
Ik zou me zo kunnen voorstellen dat er gebruikers waren die een indicatie gaven....
Het is alleen niet erg nodig want MicrosoftMalwareMicro's werken niet in open standaard LibreOffice.
LibreOffice is software en maar één van de vele voorbeelden van OpenSource.
Een OpenStandaard is geen software, maar een afspraak.
Let even op dat dit niet door skiddies is uitgevoerd, dit is een bewuste (nation state?!) aanval geweest. Als dit radartje niet aanwezig was geweest dan had het wel vervangen worden door een andere. Met dit soort aanvallen is het een geen kwestie van "of", maar van "wanneer".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
