image

GoldenEye-ransomware verspreidt zich via SMB-lek in Windows

dinsdag 27 juni 2017, 17:18 door Redactie, 4 reacties
Laatst bijgewerkt: 27-06-2017, 20:27

De GoldenEye-ransomware die op dit moment wereldwijd bedrijven infecteert maakt gebruik van een beveiligingslek in de SMB-dienst van Windows dat in maart van dit jaar door Microsoft werd gepatcht. Het is dezelfde kwetsbaarheid waardoor de WannaCry-ransomware zich verspreidde.

De exploit die zowel GoldenEye als WannaCry gebruiken voor het aanvallen van de SMB-kwetsbaarheid is afkomstig van de NSA en wordt EternalBlue genoemd. In april werd de exploit door een groep hackers genaamd Shadow Brokers op internet geplaatst. Verschillende onderzoekers alsmede securitybedrijf Symantec melden nu dat ze de EternalBlue-code in GoldenEye hebben aangetroffen. Experts vragen zich af hoe het kan dat getroffen organisaties na de WannaCry-uitbraak de SMB-kwetsbaarheid nog steeds niet hebben gepatcht.

Daarnaast maakt GoldenEye gebruik van PsExec, een tool van Microsoft, om zich door het netwerk te bewegen, laat onderzoeker Kevin Beaumont weten. "De Petya-ransowmare wordt weer een globaal security-incident gedreven door organisaties die SMB niet patchen en SMBv1 niet uitschakelen", aldus de onderzoeker. Het bitcoin-adres dat de ransomware opgeeft heeft inmiddels 11 transacties ontvangen met een waarde van 2800 euro.

Update

Anti-virusbedrijf Avast meldt dat het vandaag12.000 pogingen heeft gezien door malware om systemen via de EternalBlue-exploit te infecteren. Pogingen die werden geblokkeerd. Via de eigen Wi-Fi Inspector kan Avast netwerken scannen en kijken of een Avast-computer of andere verbonden pc's op hetzelfde netwerk kwetsbaar zijn voor de EternalBlue-exploit. Vorige week bleken 38 miljoen computers de Windows-update voor het SMB-lek niet te hebben geïnstalleerd. Het werkelijke aantal kwetsbare computers is volgens de virusbestrijder waarschijnlijk veel hoger.

Update 2

Een onderzoeker van anti-virusbedrijf Kaspersky Lab meldt dat de ransomware gebruik maakt van een aangepaste EternalBlue-exploit, een kwetsbaarheid in een Oekraïens softwareprogramma en een tweede SMB-exploit.

Reacties (4)
27-06-2017, 17:29 door Anoniem
Aha, een beveiligingsmeneer van het bedrijf in de Rotterdamse haven kan nu solliciteren op de vakature van NCSC hiernaast.
27-06-2017, 17:55 door karma4
Door Anoniem: Aha, een beveiligingsmeneer van het bedrijf in de Rotterdamse haven kan nu solliciteren op de vacature van NCSC hiernaast.
Je hebt humor. Een klein smetje in de gevraagde ervaring en als je dat niet kan draaien dat je het wel aangegeven had maar het een beleidskwestie was om er niets aan te doen wordt het lastig.
27-06-2017, 23:14 door Anoniem
Experts vragen zich af hoe het kan dat getroffen organisaties na de WannaCry-uitbraak de SMB-kwetsbaarheid nog steeds niet hebben gepatcht.
Hadden ze het ICT personeel weer onvoldoende betaald?
28-06-2017, 02:10 door Anoniem
Door Anoniem: Aha, een beveiligingsmeneer van het bedrijf in de Rotterdamse haven kan nu solliciteren op de vakature van NCSC hiernaast.

Hahahaha!!!! Top
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.