Ruim anderhalf jaar na de uitbraak van de WannaCry-ransomware is de malware nog steeds op een groot aantal systemen actief. Dat blijkt uit cijfers van securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde kort na de eerste infecties een domeinnaam die als killswitch voor de ransomware fungeert.
WannaCry probeert op besmette machines met deze domeinnaam verbinding te maken. Wanneer er verbinding wordt gemaakt stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken.
Vorige week zag Kryptos Logic gedurende zeven dagen meer dan 17 miljoen 'beacons' (verbindingen) van besmette machines, afkomstig van ruim 639.000 unieke ip-adressen. De getroffen machines zijn aanwezig in 194 landen en de meeste infecties bevinden zich in China, Indonesië, Vietnam en India.
Door dhcp (dynamic host configuration protocol), dat veel organisaties gebruiken om machines in het interne netwerk van ip-adressen te voorzien, is het onduidelijk hoeveel computers daadwerkelijk nog zijn besmet, maar de dreiging is nog altijd aanwezig, aldus het securitybedrijf.
"Niemand maakt zich meer druk om WannaCry, het is oud nieuws. Maar voor ons blijft de killswitch van groot belang", zegt onderzoeker Jamie Hankins van Kryptos Logic. Hij merkt op dat de schade enorm kan zijn als de killswitch door een storing niet bereikbaar is. Organisaties worden dan ook opgeroepen om hun systemen te patchen en op te schonen.
De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al meer dan anderhalf jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond.
Deze posting is gelocked. Reageren is niet meer mogelijk.