De GoldenEye-ransomware die op dit moment wereldwijd bedrijven infecteert maakt gebruik van een beveiligingslek in de SMB-dienst van Windows dat in maart van dit jaar door Microsoft werd gepatcht. Het is dezelfde kwetsbaarheid waardoor de WannaCry-ransomware zich verspreidde.

De exploit die zowel GoldenEye als WannaCry gebruiken voor het aanvallen van de SMB-kwetsbaarheid is afkomstig van de NSA en wordt EternalBlue genoemd. In april werd de exploit door een groep hackers genaamd Shadow Brokers op internet geplaatst. Verschillende onderzoekers alsmede securitybedrijf Symantec melden nu dat ze de EternalBlue-code in GoldenEye hebben aangetroffen. Experts vragen zich af hoe het kan dat getroffen organisaties na de WannaCry-uitbraak de SMB-kwetsbaarheid nog steeds niet hebben gepatcht.

Daarnaast maakt GoldenEye gebruik van PsExec, een tool van Microsoft, om zich door het netwerk te bewegen, laat onderzoeker Kevin Beaumont weten. "De Petya-ransowmare wordt weer een globaal security-incident gedreven door organisaties die SMB niet patchen en SMBv1 niet uitschakelen", aldus de onderzoeker. Het bitcoin-adres dat de ransomware opgeeft heeft inmiddels 11 transacties ontvangen met een waarde van 2800 euro.

Update

Anti-virusbedrijf Avast meldt dat het vandaag12.000 pogingen heeft gezien door malware om systemen via de EternalBlue-exploit te infecteren. Pogingen die werden geblokkeerd. Via de eigen Wi-Fi Inspector kan Avast netwerken scannen en kijken of een Avast-computer of andere verbonden pc's op hetzelfde netwerk kwetsbaar zijn voor de EternalBlue-exploit. Vorige week bleken 38 miljoen computers de Windows-update voor het SMB-lek niet te hebben geïnstalleerd. Het werkelijke aantal kwetsbare computers is volgens de virusbestrijder waarschijnlijk veel hoger.

Update 2

Een onderzoeker van anti-virusbedrijf Kaspersky Lab meldt dat de ransomware gebruik maakt van een aangepaste EternalBlue-exploit, een kwetsbaarheid in een Oekraïens softwareprogramma en een tweede SMB-exploit.