De BadRabbit-ransomware die afgelopen dinsdag allerlei bedrijven en organisaties infecteerde maakte gebruik van een NSA-exploit om zich binnen netwerken te verspreiden. Dat laat Cisco vandaag weten. Voor zover bekend vond de initiële infectie plaats via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden.
Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Al gauw werd vastgesteld dat dit gebeurde via een lijst met veelvoorkomende wachtwoorden en het onderscheppen van inloggegevens. Kort na de uitbraak meldde ESET-onderzoeker Lukas Stefanko dat BadRabbit ook de EternalBlue-exploit van de NSA gebruikte om zich verder binnen het netwerk te verspreiden. Dit bleek achteraf niet het geval te zijn.
Cisco stelt nu dat er toch een exploit van de NSA door de ransomware is ingezet, namelijk EternalRomance. Deze exploit, die bij de NSA werd gestolen en in april van dit jaar door een groep genaamd Shadow Brokers openbaar werd gemaakt, maakt net als EternalBlue gebruik van een kwetsbaarheid in de SMB-dienst van Microsoft. De exploit werkt op Windows XP, Vista, Windows 7, Server 2003 en Server 2008. Via het beveiligingslek kan een aanvaller code op kwetsbare computers uitvoeren. De kwetsbaarheid (CVE-2017-0145) werd in maart van dit jaar door Microsoft gepatcht. Veel organisaties hadden de update niet meteen geïnstalleerd, zo bleek uit de uitbraak van de WannaCry-ransomware in mei. Hoe effectief het gebruik van de EternalRomance-exploit door BadRabbit was is nog onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.