Grote aanval via SMB-lek besmet systemen met Monero-miner
Onderzoekers van beveiligingsbedrijf Proofpoint zeggen een grootschalige aanval via de EternalBlue-exploit van de NSA te hebben ontdekt die wordt gebruikt om systemen met een Monero-miner te besmetten en uit eerste cijfers zou blijken dat deze aanval groter is dan die van WannaCry.
Ook zou de aanval al enkele weken gaande zijn. De aanvallers gebruiken net als de WannaCry-ransomware de EternalBlue-exploit om kwetsbare systemen te vinden en via SMB aan te vallen. Vervolgens wordt de DoublePulsar-backdoor van de NSA gebruikt om systemen met een Monero-miner genaamd Adylkuzz te besmetten. Monero is een digitale valuta, vergelijkbaar met bitcoin. Naast de gebruikte malware is een ander verschil met WannaCry dat de aanvallers SMB uitschakelen, om infectie door andere malware te voorkomen.
Mogelijk heeft dit de verspreiding van de WannaCry-ransomware beperkt, aldus Proofpoint. De aanval zou namelijk al sinds 24 april gaande zijn. In tegenstelling tot ransomware dat bestanden versleutelt, maken "miners" die digitale valuta minen vooral gebruik van de rekenkracht van de computer en zijn daardoor niet altijd zichtbaar voor gebruikers en beheerders.
Indirect, het zijn natuurlijk de crimminelen die het uiteindelijk gedaan hebben.
Zij schermen vaak met de argumenten dat zij die exploits enkel tegen "the bad guys" gebruiken, maar ze vergeten dat eens die tools bestaan, ze ook gebruikt kunnen worden tegen alles wat ze willen beschermen, inclusief zichzelf!
Nee want men heeft de kans gehad om dat lek allang te dichten de patch is er sinds Maart. Alleen verzuimen IT-ers om hun werk te doen (en dat zeg ik als IT-er) en bovendien als een bedrijfsnetwerk correct is opgezet is de kans op besmetting klein en kan het zich geheel niet verder verspreiden dus blijft het alleen op kleine schaal. Gezien dat niet het geval lijkt kun je stellen dat er nogal wat aan te merken valt op de beveiliging van bedrijfsnetwerken. Verder geldt er vaak een mentaliteit, waarom zouden we meer geld uitgeven aan beveiliging, het werkt toch.
Eigenlijk zou je als middel of groot bedrijf door de overheid verplicht moeten worden om de beveiliging op orde te hebben en te laten auditen.
Volgens Edward Snowden gebruikt de NSA zelf Windows dus.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
