image

Ook Nederlandse slachtoffers WannaCry-ransomware

zaterdag 13 mei 2017, 08:07 door Redactie, 34 reacties
Laatst bijgewerkt: 13-05-2017, 10:43

Ook in Nederland zijn er machines door de wereldwijde aanval met de WannaCry-ransomware getroffen, zo blijkt uit gegevens van de website MalwareTech. Toen de infectie gisteren begon rapporteerde het Nationaal Cyber Security Centrum (NCSC) van de overheid dat het geen meldingen had ontvangen die op een toename van besmettingen met ransomware in Nederland duiden.

Het NCSC meldt dat de ransomware zich verspreidt via e-mail. Vervolgens wordt er een beveiligingslek in Windows SMB gebruikt dat Microsoft op 14 maart van dit jaar patchte om systemen binnen netwerken aan te vallen. Er is een toename van het aantal scans op deze kwetsbaarheid, aldus beveiligingsbedrijf AlienVault Labs. Anti-virusbedrijf Avast meldt dat het inmiddels 75.000 detecties van de ransomware in 99 landen heeft waargenomen. Met name Rusland zou zwaar door de ransomware zijn getroffen. De ransomware is in 28 talen beschikbaar, waaronder het Nederlands.

Zodra de ransomware bestanden op een systeem heeft versleuteld moeten slachtoffers een losgeldbedrag in bitcoin betalen ter waarde van 300 dollar. Zoals gisteren al gemeld werden onder andere de Spaanse telecomprovider Telefonica en Britse ziekenhuizen door de ransomware getroffen. De Britse politie meldt dat er geen aanwijzingen zijn dat medische gegevens of persoonlijke informatie van patiënten of personeel is gecompromitteerd.

De Amerikaanse overheidsinstantie US-CERT adviseert slachtoffers om het gevraagde losgeld niet te betalen, aangezien er geen garantie is dat de bestanden worden ontsleuteld. De drie bitcoinadressen die ransomware gebruikt hebben inmiddels 8,2 bitcoin ontvangen, wat met de huidige koers bijna 13.000 euro is.

Update

Uit nieuwe data blijkt dat er ook in Nederland slachtoffers van de ransomware zijn. Het artikel is hierop aangepast.

Update 2

Christiaan Beek, hoofdonderzoeker van beveiligingsbedrijf McAfee, laat aan Security.NL weten dat er tot nu toe drie hits in Nederland zijn aangetroffen. De meeste besmettingen zijn in Canada, de VS, Taiwan en Rusland waargenomen, aldus Beek. Ook beveiligingsbedrijf Fox-IT meldt infecties hier. "We hebben ook infecties in Nederland waargenomen, maar op zeer beperkte schaal. We zien geen horizontale verspreiding meer, waardoor niet meer hele netwerken plat zullen gaan", zegt Ronald Prins, CTO van Fox-IT. Volgens de Associated Press zijn duizend computers van het Russische ministerie van Binnenlandse Zaken, een Russische telecomprovider en FedEx door de ransomware getroffen.

Reacties (34)
13-05-2017, 08:14 door Anoniem
Niet in Nederland? Het stikt er van: https://is.gd/qnmQMN
Johan
13-05-2017, 08:18 door karma4 - Bijgewerkt: 13-05-2017, 08:41
Waarom staat er van alles aan zoals smb (samba) op plekken waar informatie van buiten verwerkt wordt.
Waarom staat er zoveel andere verbindingen open (rdp) met allerlei data bestanden die bij het verwerken van de mail niet nodig is.
Ik weet dat secùrity vaak bedacht wordt aan de hand van Hr - functierollen. Je zou moeten denken in taak informatieklassen.

Als het gevolg daarvan is dat een persoon daardoor met meerdere accounts moet werken dan is dat prima.
Uitleggen dat de risico's met de betreffende informatie anders is en ik denk dat je draagvlak krijgt.
13-05-2017, 08:18 door Breydelstad
https://is.gd/qnmQMN Het stikt hier ook van de besmettingen
13-05-2017, 08:39 door Anoniem
Door karma4: Waarom staat er van alles aan zoals smb (samba) op plekken waar informatie van buiten verwerkt wordt.
Omdat idioten in Redmond meenden dat het een goed idee is dat op elke Windows (eindgebruiker) PC standaard de server service draait met ondersteuning voor alle legacy protocollen ooit geïmplementeerd.

Trouwens, na alle ellende met eerdere wormen, ook nog steeds RPC-DCOM (dat je, in tegenstelling tot de server service, niet straffeloos kunt uitzetten).

Maar goed, onze experimentele Microsoft AI bot zal dit wel weer zo verdraaien dat alle leed door een gebrek aan secùrity [sic] bij open source Linux Google Apple enzovoorts veroorzaakt wordt.
13-05-2017, 09:13 door quikfit
Door Breydelstad: https://is.gd/qnmQMN Het stikt hier ook van de besmettingen

Hmm,bij dat soort links gaan bij mij de alarmbellen af.
13-05-2017, 09:35 door Anoniem
Door Breydelstad: https://is.gd/qnmQMN Het stikt hier ook van de besmettingen
Zou je in plaats van een verkorte URL de eigenlijke URL kunnen gebruiken? Dan kunnen mensen zien waar de link naar toe leidt voordat ze besluiten erop te klikken, en wordt informatie over wie erop klikt niet onnodig langs een derde partij geleid die er geen donder mee te maken heeft.
13-05-2017, 10:26 door Anoniem
Door quikfit: Hmm,bij dat soort links gaan bij mij de alarmbellen af.
Alleen veilig te openen in een sandbox omgeving, zéker in deze context. :-)
13-05-2017, 10:34 door [Account Verwijderd] - Bijgewerkt: 13-05-2017, 12:34
[Verwijderd]
13-05-2017, 11:24 door mcb
Door quikfit:
Door Breydelstad: https://is.gd/qnmQMN Het stikt hier ook van de besmettingen

Hmm,bij dat soort links gaan bij mij de alarmbellen af.
Het is inderdaad niet slim om url shorteners te gebruiken op een site als dit en al helemaal niet als het gaat om malware problemen.
Het helpt ook niet dat dit de posters 1e post is.

Dit keer maakte het niet uit want de originele url is https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all.

@ Breydelstad, was het zo moeilijk om de originele url te plaatsen? We zitten hier niet op twitter, langere posts (en urls) en toegestaan!
13-05-2017, 11:44 door Anoniem
Heeft iemand een link waarin de email met deze malware wordt beschreven of afgebeeld?

Of is dat zo maar een algemeen advies van NSCS?
13-05-2017, 11:53 door Anoniem
3 btc... om het geld hoeven ze het dus niet te doen. Het is dan wel heel fijn om te vernemen dat zo weinig mensen betalen.
Er zijn genoeg admin's die voor 50 euro een bitcoin kochten en zoiets hebben van 'ja ach, 300 eur is een lachertje'
13-05-2017, 12:05 door Anoniem
Door karma4: Waarom staat er van alles aan zoals smb (samba) op plekken waar informatie van buiten verwerkt wordt.
Waarom staat er zoveel andere verbindingen open (rdp) met allerlei data bestanden die bij het verwerken van de mail niet nodig is.

smb hoeft helemaal niet open te staan voor toegang van buiten, als er iemand binnen het bedrijf door een kwaadaardige mail geinfecteerd raakt kan die pc waarschijnlijk door een groot deel van het LAN heen huppelen. SMB staat vaak wel aan voor computers binnen het bedrijfsnetwerk.

Ik zie op mijn honeypot dan ook nagenoeg geen poort 137-139 connecties binnenkomen, nog wel veel Mirai en rdp (3389) pogingen.
13-05-2017, 12:54 door Anoniem
Tja, het is wat.
Mijn oude internet- *** heeft nergens last van.

(*** = ... , noem geen naam, dat ligt nogal gevoelig op deze site, maar je vrijwaren van ellende is echt een eigen keuze, iets dat velen maar niet onder ogen willen zien om tal van redenen.)
13-05-2017, 13:03 door Anoniem
Door Anoniem: Heeft iemand een link waarin de email met deze malware wordt beschreven of afgebeeld?

Of is dat zo maar een algemeen advies van NSCS?

Het word niet verspreid via email voor zover ik weet.
Het is een worm die zich via het internet verspreid en op zoek is naar computers met een zwakte
De laatste windows updates hebben deze zwakte weg gehaald maar er zijn nogsteeds veel computers die op oudere versies draaien
13-05-2017, 13:16 door SecGuru_OTX
Door Anoniem:
Door karma4: Waarom staat er van alles aan zoals smb (samba) op plekken waar informatie van buiten verwerkt wordt.
Waarom staat er zoveel andere verbindingen open (rdp) met allerlei data bestanden die bij het verwerken van de mail niet nodig is.

smb hoeft helemaal niet open te staan voor toegang van buiten, als er iemand binnen het bedrijf door een kwaadaardige mail geinfecteerd raakt kan die pc waarschijnlijk door een groot deel van het LAN heen huppelen. SMB staat vaak wel aan voor computers binnen het bedrijfsnetwerk.

Ik zie op mijn honeypot dan ook nagenoeg geen poort 137-139 connecties binnenkomen, nog wel veel Mirai en rdp (3389) pogingen.

Ik zag gisteren wel veel 139 en 445 pogingen.
13-05-2017, 13:30 door Joep Lunaar
WannaCry zou gebruik maken van een kwetsbaarheid die begin april dit jaar door Shadowbrokers is openbaar gemaakt (indirecte bron https://tweakers.net/nieuws/124635/beveiligingsonderzoeker-vindt-per-toeval-killswitch-voor-ransomwarecampagne.html)
13-05-2017, 13:30 door SecGuru_OTX
Bijgaand twee zeer goede analyses:

http://blog.talosintelligence.com/2017/05/wannacry.html#more

https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/

Ook nog wat algemene tips voor bedrijven:
- Patchen, patchen, patchen, patchen, patchen en patchen!
- Maak gebruik van vulnerability scanning tooling zoals b.v. Qualys, Nessus of desnoods OpenVAS(zit ook in OSSIM) om te ontdekken of er kwetsbaarheden op je interne netwerk aanwezig zijn(en/of ter controle van je update proces)
- Blokkeer TOR .onion vanuit je bedrijfsnetwerk;
- Zorg dat Port 137-139 en 445 nooit vanaf het Internet toegankelijk zijn;
- Indien RDP (3389) vanaf het Internet toegankelijk moet zijn: Gebruik altijd 2FA en/of IP restrictie;
- Gebruik anti-exploit producten op je Endpoints;
- Zet SMB(of überhaupt alle) verkeersstromen intern alleen daar waar nodig open, in de meeste gevallen hoeven je endpoints niet via SMB met elkaar te communiceren. Dit kan gewoon met je lokale firewall;
- Filter uitgaand verkeer en maak gebruik van IPS;
- Blokkeer alle scripts en executables die binnenkomen als/in e-mail bijlage.
13-05-2017, 14:00 door SecGuru_OTX
P.s. let aub op!

Hoewel de kill switch functie van Wannacry nu is aangepast, lijkt het net of dat alle paniek voorbij is... (als je de media moet geloven).

Dit is overigens vrij eenvoudig aan te passen, vervolgens kan men weer verder.

Maak er dus aub nog een prio van om je systemen te patchen.
13-05-2017, 14:50 door karma4 - Bijgewerkt: 13-05-2017, 14:52
Door Anoniem:
Door karma4: Waarom staat er van alles aan zoals smb (samba) op plekken waar informatie van buiten verwerkt wordt.
Omdat idioten in Redmond meenden dat het een goed idee is dat op elke Windows (eindgebruiker) PC standaard de server service draait met ondersteuning voor alle legacy protocollen ooit geïmplementeerd.

Trouwens, na alle ellende met eerdere wormen, ook nog steeds RPC-DCOM (dat je, in tegenstelling tot de server service, niet straffeloos kunt uitzetten).

Maar goed, onze experimentele Microsoft AI bot zal dit wel weer zo verdraaien dat alle leed door een gebrek aan secùrity [sic] bij open source Linux Google Apple enzovoorts veroorzaakt wordt.

Het zijn niet die lui uit Redmond die dat uitmaken. Het zijn de beslissers in de bedrijven en dienstverleners die dat doen.
Of je nu sccm setup rpm get apt yum of wat dan ook daarvoor dient te gebruiken maakt geen verschil. Je bent als admin maar marionet die dat soort instructies zonder nadenken moet uitvoeren. Geen slimme mensen voor nodig en goedkoop.
Ik maak me druk over het gebrek aan security awareness van os adepten omdat zoiets zeer verstorend werkend voor een gedegen secùrity inrichting.

Door SecGuru_OTX:
- Zet SMB(of überhaupt alle) verkeersstromen intern alleen daar waar nodig open, in de meeste gevallen hoeven je endpoints niet via SMB met elkaar te communiceren. Dit kan gewoon met je lokale firewall;
- Filter uitgaand verkeer en maak gebruik van IPS;
- Blokkeer alle scripts en executables die binnenkomen als/in e-mail bijlage.
Thanks goede adviezen. Wat dacht je van het isoleren van de mail als aparte taak in een vm. Geen Internet of wat dan ook en slechts specifieke tekst koppelingen gecontroleerd doorzetten.
Het is niet gangbaar. Het out of the box denken wordt als belangrijk gezien maar tegelijkertijd ongewenst want lastig.
13-05-2017, 15:32 door SecGuru_OTX
Wannacry is nog steeds actief en schadelijk.

De meeste beveiligingsproducten blokkeren sinds gisteren de verbinding naar het webadres van de gecreëerde sinckhole(op basis van de oorspronkelijke URL in de code), hierdoor faalt de verbinding en zal de payload alsnog worden uitgevoerd.

In de code staat "// if request fails, execute payload"

Blokkeer het request en vervolgens zal de payload nog steeds worden uitgevoerd. Een proxy kan er ook voor zorgen dat de payload alsnog zal worden uitgevoerd.
13-05-2017, 15:42 door SecGuru_OTX - Bijgewerkt: 13-05-2017, 15:43
Door SecGuru_OTX:
- Zet SMB(of überhaupt alle) verkeersstromen intern alleen daar waar nodig open, in de meeste gevallen hoeven je endpoints niet via SMB met elkaar te communiceren. Dit kan gewoon met je lokale firewall;
- Filter uitgaand verkeer en maak gebruik van IPS;
- Blokkeer alle scripts en executables die binnenkomen als/in e-mail bijlage.
Thanks goede adviezen. Wat dacht je van het isoleren van de mail als aparte taak in een vm. Geen Internet of wat dan ook en slechts specifieke tekst koppelingen gecontroleerd doorzetten.
Het is niet gangbaar. Het out of the box denken wordt als belangrijk gezien maar tegelijkertijd ongewenst want lastig.[/quote]

Checkpoint heeft hier ook een mooie oplossing voor, n.l. Checkpoint SandBlast Threat Extraction. Alle bestanden worden geconverteerd naar PDFa, pas na een succesvolle run in de SandBox (Threat Emulation) kunnen gebruikers het oorspronkelijke document downloaden.
13-05-2017, 18:05 door Anoniem


In de code staat "// if request fails, execute payload"
.

Was het altijd maar zo makkelijk dat er een handleiding bij zat :-)

Nou ja, alle msm (nos, cnn, bbc, ajz, rt) zijn tenminste direct klaar met een 'special' als ooit de cyberkrieg begint... wel fijn dat je via de tv op de hoogte gebracht wordt. Alleen cctv deed weer eens niet mee.
13-05-2017, 21:08 door Anoniem
Door SecGuru_OTX: Bijgaand twee zeer goede analyses:

http://blog.talosintelligence.com/2017/05/wannacry.html#more

https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/

Ook nog wat algemene tips voor bedrijven:
- Patchen, patchen, patchen, patchen, patchen en patchen!
- Maak gebruik van vulnerability scanning tooling zoals b.v. Qualys, Nessus of desnoods OpenVAS(zit ook in OSSIM) om te ontdekken of er kwetsbaarheden op je interne netwerk aanwezig zijn(en/of ter controle van je update proces)
- Blokkeer TOR .onion vanuit je bedrijfsnetwerk;
- Zorg dat Port 137-139 en 445 nooit vanaf het Internet toegankelijk zijn;
- Indien RDP (3389) vanaf het Internet toegankelijk moet zijn: Gebruik altijd 2FA en/of IP restrictie;
- Gebruik anti-exploit producten op je Endpoints;
- Zet SMB(of überhaupt alle) verkeersstromen intern alleen daar waar nodig open, in de meeste gevallen hoeven je endpoints niet via SMB met elkaar te communiceren. Dit kan gewoon met je lokale firewall;
- Filter uitgaand verkeer en maak gebruik van IPS;
- Blokkeer alle scripts en executables die binnenkomen als/in e-mail bijlage.

uitstekende verhandeling
13-05-2017, 21:09 door [Account Verwijderd] - Bijgewerkt: 13-05-2017, 22:55
[Verwijderd]
13-05-2017, 22:08 door [Account Verwijderd] - Bijgewerkt: 13-05-2017, 22:09
[Verwijderd]
13-05-2017, 22:12 door SecGuru_OTX
Door Komsowalski: Nu blijkt dat Q-park parkeerautomaten ook geïnfecteerd zijn (geweest) in Rotterdam en Ede.
http://www.telegraaf.nl/binnenland/28156561/__Ook_Q-Park_slachtoffer_aanval__.html

Q-Park website is ook nog steeds offline.
13-05-2017, 22:57 door [Account Verwijderd]
[Verwijderd]
14-05-2017, 09:05 door karma4
Door 4amrak:
nah redmond heeft ook een bijdrage in het geheel; ze zouden immers ook een installer kunnen maken die de optie 'installeer super veilig met alle services default uitgeschaked en veilig zinnige default settings voor clients voor de pro' of een configuratie profile aanbieden op die manier net zoals ze wel in staat blijken te zijn andere .......
Hebben ze ooit geprobeerd kregen ze de reacties in dd trend van: wat denken ze wel het is mijn computer ok bepaal dat al k es open hoort te staan. Op die publieke reactie is gevolg gegeven door minder strict te zijn.

Maar nu je de infra laag fabrikanten wil annspreken. Hoe die je dat met oss linux. De grote commerciële jongens verschuilen zich daar gezamenlijk achter al niet onderscheidend iets. Ga je ook alle thuis Testers van oss aanspreken omdat die niets degelijk testen maar het wel zouden kunnen omdat code te raadplegen is.
14-05-2017, 09:08 door karma4
Door Komsowalski: Nu blijkt dat Q-park parkeerautomaten ook geïnfecteerd zijn (geweest) in Rotterdam en Ede.
http://www.telegraaf.nl/binnenland/28156561/__Ook_Q-Park_slachtoffer_aanval__.html
Oplossing bomen open zetten later oplossen. Impact is enkel financieel oorzaak opzet ook voornamelijk fiancée gedreven. Het gangbare investeren in iets wat zou kunnen gebeuren is te duur. Als het dan gebeurt is het ineens een verassing die niemand had kunnen zien en vooral aan anderen te wijten is.
14-05-2017, 12:05 door [Account Verwijderd] - Bijgewerkt: 14-05-2017, 12:06
[Verwijderd]
14-05-2017, 15:51 door karma4 - Bijgewerkt: 14-05-2017, 16:02
Door 4amrak:kijk eens naar het aantal tik fouten.
Smartphone hé...

toch kan er uit redmond een knop bij de installatie beschikbaar zijn waarbij je als pro start van een safe en alles dicht sane default ipv die 'de klant wilt het' setting die nu gebeurt. ik trek overigens mijn twijfels bij de 'klant wilt het'. ....
Als je meegemaakt hebt hoe er op de vloer over gedacht wordt, dat men voorgekookte instructies met klik klik wil, dan pas herken je dat.
Als je meegemaakt hebt dat men van DOS met daarbij alles zelf te installeren en eigen machines over moest, gevoelsmatig teruggeworpen werd naar een gecontroleerde Enterprise omgeving, dan pas herken je dat.
Als je meegemaakt hoe architecten in de rol van managers die van toeten nog blazen wisten hun eigen voorkeuren doordrukken, dan pas herken je dat.
Als je meegemaakt hebt hoe externe leveranciers hun eigen weg gaan op kosten van de klant, dan pas herken je dat.

Dat knopje wil men niet in enterprise omgeving want dat is een kostenverhogende aparte stack. Bedenk dat geen enkel serieus bedrijf de standaard installatie van MS gebruikt maar de boel compleet doorloopt en herbouwd als een DAAS ( desktop as a service). Die service en kennis wordt van de markt ingekocht.
14-05-2017, 21:23 door [Account Verwijderd]
[Verwijderd]
14-05-2017, 23:49 door Joep Lunaar
Deze ellendige programmatuur kan haar werk doen, niet uitsluitend door gebruik te maken van een "drop" van een uitvoerbaar bestand via e-mail en een "worm" die een kwetsbaarheid in de implementatie van het SMBv1 uitbuit, maar ook vanwege een paar "onhandige" gebruiken op het MS Windows platform.

Als ik het goed begrepen heb wordt de "drop" met de rechten van de ingelogde gebruiker uitgevoerd en de "worm", die via de kwetsbaarheid in de SMB service toeslaat, verkrijgt de rechten van die service daemon, SYSTEM rechten. Hierna is er geen redden meer aan. Zodra de malware een eerste proces heeft kunnen starten (de "drop") pakt die een zip uit met daarin nog meer programmatuur (waaronder dacht ik ook de "worm").

Op een behoorlijk ingericht systeem kan programmatuur niet worden gestart vanaf een bestandsysteem dat schrijfbaar, althans schrijfbaar is voor een gewone gebruiker; dit geldt zeker ook voor tmp folders. Voor het schrijven van (uitvoerbare) bestanden op een bestandssysteem dat wel de executie van daarop staande bestanden toestaat, zijn bijzondere administratieve rechten benodigd. Op een dergelijk systeem had deze malware niet kunnen toeslaan !

Een dergelijke inrichting is standaard op de meeste *NIX werkplekken en servers, maar is onder MS Windows evengoed mogelijk. Standaard wordt het echter niet zo geïnstalleerd en standaard wordt het ook niet zo ingericht. Best wel pijnlijk !
15-05-2017, 18:35 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.