Het is volgende maand precies een jaar geleden dat WannaCry uitbrak, maar nog altijd zijn miljoenen computers met de ransomware besmet. Dat meldt securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde een domeinnaam die als killswitch voor de ransomware fungeerde.
Zodra WannaCry op een machine actief is probeert het verbinding met deze domeinnaam te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken.
In maart zag het securitybedrijf zo'n 100 miljoen verbindingspogingen afkomstig van meer dan 2,7 miljoen unieke ip-adressen. Dit is al een jaar gaande en volgens de onderzoekers zijn er geen aanwijzingen dat de infecties aan het afnemen zijn. "We schatten dat honderdduizenden van onbehandelde Windows-infecties verantwoordelijk zijn voor de continue verspreiding van WannaCry, die volgens onze dataset en schattingen verschillende (tientallen) miljoenen systemen via een eb- en vloedcyclus van infecties elke maand weet te bereiken", aldus het bedrijf.
Kryptos Logic geeft in deze blogposting verschillende scenario's waarin WannaCry nog steeds een "serieuze dreiging" kan vormen en wat bedrijven kunnen doen om infecties te voorkomen. "Bedrijven waar geen WannaCry-infecties zijn waargenomen lopen nog steeds risico op een uitbraak als het installeren van updates niet is afgerond. De perfecte storm doet zich voor als computers geen virusscanner gebruiken en Windows niet up-to-date is. Ironisch genoeg is dit vrij normaal in de meeste belangrijke productieomgevingen", zo stelt Kryptos Logic.
De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al een jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond.
Deze posting is gelocked. Reageren is niet meer mogelijk.