image

Petya-ransomware verspreidde zich ook via Oekraïense website

woensdag 28 juni 2017, 13:48 door Redactie, 2 reacties

De Petya-ransomware verspreidde zich naast de updatefunctie van de Oekraïense boekhoudsoftware MEDoc ook via een gehackte Oekraïense website. Dat laat Costin Raiu weten, directeur van het onderzoeksteam van het Russische anti-virusbedrijf Kaspersky Lab.

Raiu spreekt op Twitter over een "waterhole attack". Hierbij hacken aanvallers websites die potentiële doelen uit zichzelf al bezoeken. Zodoende is het niet nodig om bijvoorbeeld een e-mail naar slachtoffers te sturen. In dit geval ging het om de website van Bachmoet, een stad in de Oekraïense provincie Donetsk. Volgens Raiu plaatsten de aanvallers code op de website die ervoor zorgde dat bezoekers een zogenaamde Windows-update kregen aangeboden.

Bij waterhole-aanvallen komt het ook voor dat aanvallers exploits gebruiken om bezoekers via kwetsbaarheden in hun software met malware te infecteren. Bij deze aanval zijn echter geen exploits waargenomen. Raiu denkt verder dat de aanvallers de aanval via de website, die inmiddels weer schoon is, beperkten tot alleen bezoekers uit Oekraïne. Securitybedrijf Cyberark laat verder weten dat de ransomware systemen met een 'US English-only' toetsenbord niet infecteert.

Reacties (2)
28-06-2017, 14:06 door Xhendos
The Grugq wees erop dat het doel zo veel mogelijk infecties te veroorzaken was*.
Hier wijst Cyberark dat computers waarop de toetsenbord in "US English-only" mode stond niet geinfecteerd worden.

Ik ben benieuwd naar het echte verhaal.

* https://www.security.nl/posting/521660/Onderzoeker%3A+Petya-ransomware+moest+schade+veroorzaken
28-06-2017, 19:03 door Anoniem
Vaak toch zien we dat veiligheidsmaatregelen in configuraties elkaar niet versterken, maar juist tegen elkaar in beginnen te spelen.

Voorbeeld aan de ene kant een salt-mastered nameserver op een Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) van EasyDNS met aan de andere kant een veroorzaakte "Server Error in" misconfiguratie voor custom-errors resulterend in een fail.

Dus de extra veiligheid van de minion on the salt.stack weer ongedaan gemaakt door de excessieve info proliferatie van "Server error in".

Men moet dus goed weten wat men doet en het echte verhaal achterhalen zal dientengevolge ook wel iets gecompliceerder liggen als men ons allemaal wil voordoen.

Als error jager en met mijn eigen ervaringen van de Microsoft NT4 opleiding met de kernel (2001) nog fris in het hoofd en in de manualen, gezegend met een kop, die gelukkig nog steeds reageert "als de spreekwoordelijke ijzeren pot", gaan je bepaalde dingen opvallen als je de ongerijmdheden er uit haalt en combineert.

Slik alle info dus niet meteen voor zoet koek, geachte liefhebbers van digitale veiligheid hier op security.nl!

Nog iemand? Veel is dus PEBKAC en" zit ergens tussen de oren of men mist het inzicht".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.