image

Miljoenen computers nog steeds besmet met WannaCry

dinsdag 10 april 2018, 11:17 door Redactie, 4 reacties

Het is volgende maand precies een jaar geleden dat WannaCry uitbrak, maar nog altijd zijn miljoenen computers met de ransomware besmet. Dat meldt securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde een domeinnaam die als killswitch voor de ransomware fungeerde.

Zodra WannaCry op een machine actief is probeert het verbinding met deze domeinnaam te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken.

In maart zag het securitybedrijf zo'n 100 miljoen verbindingspogingen afkomstig van meer dan 2,7 miljoen unieke ip-adressen. Dit is al een jaar gaande en volgens de onderzoekers zijn er geen aanwijzingen dat de infecties aan het afnemen zijn. "We schatten dat honderdduizenden van onbehandelde Windows-infecties verantwoordelijk zijn voor de continue verspreiding van WannaCry, die volgens onze dataset en schattingen verschillende (tientallen) miljoenen systemen via een eb- en vloedcyclus van infecties elke maand weet te bereiken", aldus het bedrijf.

Kryptos Logic geeft in deze blogposting verschillende scenario's waarin WannaCry nog steeds een "serieuze dreiging" kan vormen en wat bedrijven kunnen doen om infecties te voorkomen. "Bedrijven waar geen WannaCry-infecties zijn waargenomen lopen nog steeds risico op een uitbraak als het installeren van updates niet is afgerond. De perfecte storm doet zich voor als computers geen virusscanner gebruiken en Windows niet up-to-date is. Ironisch genoeg is dit vrij normaal in de meeste belangrijke productieomgevingen", zo stelt Kryptos Logic.

De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al een jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond.

Image

Reacties (4)
10-04-2018, 11:56 door Anoniem
Tja, zodra het killswitch domein niet meer resolved (of wordt geblokkeerd in een set van ''malicious'' domains), dan zijn bedrijven die besmet zijn de lul. Want dat wordt alles opeens wel geencrypt ;)
10-04-2018, 14:41 door Anoniem
Door Anoniem: Tja, zodra het killswitch domein niet meer resolved (of wordt geblokkeerd in een set van ''malicious'' domains), dan zijn bedrijven die besmet zijn de lul. Want dat wordt alles opeens wel geencrypt ;)

Lijkt me de perfecte manier dit probleem op te lossen :)
10-04-2018, 19:57 door Anoniem
zo zie je maar weer in die MS cultuur organisaties, achterstallige onderhoud, geen patches, wel smb aan etc. etc. profesioneel hoor die windows omgevingen :). hebben ze wel voor support betaald, nemen ze die niet af. waarom zou dat nu toch steeds zijn?
11-04-2018, 11:09 door Anoniem
Door Anoniem: zo zie je maar weer in die MS cultuur organisaties, achterstallige onderhoud, geen patches, wel smb aan etc. etc. profesioneel hoor die windows omgevingen :). hebben ze wel voor support betaald, nemen ze die niet af. waarom zou dat nu toch steeds zijn?

Alsof dit bij andere operating systemen veel beter is, ik lees vaak genoeg ook problemen bij andere leveranciers op dit vlak.
Kijk eens naar al die Android tablets/telefoons die bij bedrijven gebruikt worden, worden die goed geupdate?
Dat android aangeeft up-to-date te zijn is natuurlijk een goed voorbeeld van schijn veiligheid, zoals een Android Tablet aangeeft met versie 4 erop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.