De WannaCry-ransomware is nog altijd zeer actief en heeft sinds de uitbraak op 12 mei miljoenen systemen geprobeerd te infecteren, zo meldt securitybedrijf Kryptos Logic. Een beveiligingsonderzoeker van het bedrijf registreerde een domeinnaam die als killswitch voor de ransomware fungeerde.
Zodra WannaCry op een machine actief is probeert het verbinding met deze domeinnaam te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken.
In een nieuwe analyse stelt het securitybedrijf dat de killswitch 900 miljoen cumulatieve aanvallen verspreid over miljoenen ip-adressen heeft voorkomen. Hoewel WannaCry gebruik maakt van een Windows-kwetsbaarheid die sinds maart door Microsoft is gepatcht, zijn er nog steeds systemen bij bedrijven die besmet raken. Hiervoor zijn verschillende redenen te geven.
Zo werken bedrijven met Windows-images die zijn gemaakt voordat de update voor het beveiligingslek werd uitgerold. Systemen die met deze images worden geïnstalleerd raken besmet voordat ze de update kunnen downloaden. Daarnaast worden oude Windows-images voor cloudsystemen gebruikt. Dit is met name een probleem in China, aldus Kryptos Logic.
Ook zijn er nog veel organisaties en bedrijven die besmette systemen moeten opschonen en de updates binnen hun netwerken moeten uitrollen. Verder zorgen infrastructuur- en firewall-aanpassingen voor nieuwe besmettingen en dragen mkb-bedrijven bij aan nieuwe infecties. Gisteren maakte het Witte Huis bekend dat het Noord-Korea verantwoordelijk voor WannaCry houdt.
Deze posting is gelocked. Reageren is niet meer mogelijk.