Shamoon-aanval die duizenden pc's wiste begon met macro
Een aanval die eind vorig en begin dit jaar plaatsvond en waarbij de harde schijven van duizenden computers in Saoedi-Arabië en andere golfstaten werden gewist, begon met een kwaadaardige macro. Dat stellen onderzoekers van IBM, Palo Alto Networks en SecureWorks in nieuwe analyses.
De recente aanvallen hadden veel overeenkomsten met de Shamoon-malware die in 2012 al 30.000 computers van de Saoedische oliegigant Saudi Aramco saboteerde. Hoe deze nieuwe variant, Shamoon 2 genaamd, zich verspreidde was echter onbekend. Wel was duidelijk dat de aanvallers toegang tot het netwerk van de aangevallen organisaties hadden voordat de computers werden gewist, aangezien Shamoon 2 wachtwoorden van beheerders gebruikte.
Onderzoekers stellen nu dat de aanvallers e-mails met afgekorte links naar Excel- en Word-documenten verstuurden. Hiervoor werden gespoofte en mogelijk ook gehackte websites van de Saoedische overheid alsmede Egyptische en Saoedische bedrijven gebruikt. Daardoor leek het om een legitiem document te gaan. In werkelijkheid bevatte het document echter een kwaadaardige macro. Zodra gebruikers de macro inschakelden werd de PupyRAT-malware geïnstalleerd.
Eenmaal actief verzamelde deze malware de wachtwoorden van systeembeheerders en bracht belangrijke systemen in kaart. Vervolgens werd Shamoon 2 gelanceerd die harde schijven van besmette computers wiste en de systemen zo onbruikbaar maakte. Volgens de onderzoekers laat de aanval zien dat organisaties hun werknemers moeten onderwijzen over het gevaar van gerichte phishingmails en afgekorte links. Daarnaast moeten organisaties macro's in Microsoft Office-producten uitschakelen.
Een tussenvorm is om macro's niet automatisch te laten uitvoeren, en de gebruiker om toestemming te vragen. Veel gebruikers klikken echter op alles wat voor hun neus verschijnt, als ze hun werk maar kunnen doen.
Wie weet een werkbare en veilige oplossing?
Want? Open standaarden ondersteunen geen macro's? Of wellicht niet de macro's die nu voor excel en word geschreven worden. Want een product zonder macro-support is niet echt een product.
En je zal zien, zodra er genoeg "klanten" die open standaarden gebruiken zal ook dat de aandacht trekken van de criminelen (of de NSA natuurlijk)...
Maar wel het radartje waardoor het hele rad kon draaien....
Want? Open standaarden ondersteunen geen macro's? Of wellicht niet de macro's die nu voor excel en word geschreven worden. Want een product zonder macro-support is niet echt een product.
En je zal zien, zodra er genoeg "klanten" die open standaarden gebruiken zal ook dat de aandacht trekken van de criminelen (of de NSA natuurlijk)...
In LibreOffice kan je wel onder de security tab Macro's inschakelen en uitgebreid configureren.
Het is alleen niet erg nodig want MicrosoftMalwareMicro's werken niet in open standaard LibreOffice.
Hoewel LibreOffice steeds groter wordt en veel gebruikers kent is het nog lang geen standaard.
En zolang het geen standaard is wordt er geen tot vrijwel malware voor geschreven.
Ja, dat kan je security by obscurity noemen, maar hoe je het noemt zal de eindgebruiker wordt wezen als het werkt.
En dat is een ding wat zeker is.
Net als dat het vrij zeker is dat aan dit security voordeel voorlopig weinig zal veranderen.
Gratis en veilig, wat wil je nog meer?
O, een m$ stickertje erop?
Nee, dat zit er niet in, alhoewel, ms is druk bezig zich in opensource producten al deelnemend en implementerend in te graven. Maar voorlopig komt er geen ms stickertje op Libre Office en is het dus een veilig en echt gratis pakket.
Wellicht naspelen met soortgelijke werkplekken en gebruikeraccounts en de gebruikers email openen en op die links klikken?
Ik zou me zo kunnen voorstellen dat er gebruikers waren die een indicatie gaven....
Het is alleen niet erg nodig want MicrosoftMalwareMicro's werken niet in open standaard LibreOffice.
LibreOffice is software en maar één van de vele voorbeelden van OpenSource.
Een OpenStandaard is geen software, maar een afspraak.
Let even op dat dit niet door skiddies is uitgevoerd, dit is een bewuste (nation state?!) aanval geweest. Als dit radartje niet aanwezig was geweest dan had het wel vervangen worden door een andere. Met dit soort aanvallen is het een geen kwestie van "of", maar van "wanneer".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
