image

Oudere WannaCry-versie verspreidde zich via andere SMB-worm

zondag 4 juni 2017, 08:44 door Redactie, 0 reacties

Onderzoekers hebben een oudere versie van de WannaCry-ransomware ontdekt die zich niet verspreidde via de EternalBlue-exploit van de NSA, maar een worm die SMB-wachtwoorden probeerde te raden. Dat laat het Amerikaanse beveiligingsbedrijf SecureWorks in een persbericht weten.

De oudere WannaCry-versie verscheen voor of op 22 maart en maakte gebruik van een SMB-worm genaamd WUpdator die inloggegevens probeert te raden. Wanneer succesvol installeert de worm de WannaCry-ransomware en een Tor-client. De worm blijkt ook over een hardcoded Tor-adres te beschikken. Vervolgens wordt de besmette computer gebruikt om naar andere kwetsbare systemen te scannen. De SMB-worm deelt volgens SecureWorks code met een malwarefamilie genaamd Brambul. Deze malware zou verband houden met de Lazarus Group.

Deze groep hackers zit volgens verschillende beveiligingsbedrijven achter de WannaCry-ransomware, alsmede de hack van de Centrale Bank van Bangladesh, Sony Entertainment en Zuid-Koreaanse banken en mediabedrijven. Eind maart of begin mei verscheen er een nieuwe versie van de SMB-worm die over drie Tor-adressen beschikte. Een aantal dagen later op 12 mei volgde vervolgens de worm die van de EternalBlue-exploit gebruik maakt en wereld honderdduizenden systemen wist te infecteren. SecureWorks publiceerde eerder een analyse van WannaCry, maar daar is de nieuwe informatie nog niet aan toegevoegd.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.