image

WannaCry-ransomware na anderhalf jaar nog steeds actief

vrijdag 28 december 2018, 08:20 door Redactie, 15 reacties

Ruim anderhalf jaar na de uitbraak van de WannaCry-ransomware is de malware nog steeds op een groot aantal systemen actief. Dat blijkt uit cijfers van securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde kort na de eerste infecties een domeinnaam die als killswitch voor de ransomware fungeert.

WannaCry probeert op besmette machines met deze domeinnaam verbinding te maken. Wanneer er verbinding wordt gemaakt stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken.

Vorige week zag Kryptos Logic gedurende zeven dagen meer dan 17 miljoen 'beacons' (verbindingen) van besmette machines, afkomstig van ruim 639.000 unieke ip-adressen. De getroffen machines zijn aanwezig in 194 landen en de meeste infecties bevinden zich in China, Indonesië, Vietnam en India.

Door dhcp (dynamic host configuration protocol), dat veel organisaties gebruiken om machines in het interne netwerk van ip-adressen te voorzien, is het onduidelijk hoeveel computers daadwerkelijk nog zijn besmet, maar de dreiging is nog altijd aanwezig, aldus het securitybedrijf.

"Niemand maakt zich meer druk om WannaCry, het is oud nieuws. Maar voor ons blijft de killswitch van groot belang", zegt onderzoeker Jamie Hankins van Kryptos Logic. Hij merkt op dat de schade enorm kan zijn als de killswitch door een storing niet bereikbaar is. Organisaties worden dan ook opgeroepen om hun systemen te patchen en op te schonen.

De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al meer dan anderhalf jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond.

Reacties (15)
28-12-2018, 13:30 door -karma4 - Bijgewerkt: 28-12-2018, 13:30
De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al meer dan anderhalf jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond.

De boodschap is dus altijd en tijdig updaten! Als je niet updatet dan maak je jezelf kwetsbaar.
28-12-2018, 18:45 door [Account Verwijderd] - Bijgewerkt: 28-12-2018, 18:45
@Redactie

Bron?

(aangezien DHCP helemaal niks met dit verhaal te maken kan hebben wilde ik even checken wie dat verzonnen had, dit moet NAT zijn waarschijnlijk)
29-12-2018, 13:11 door -karma4
Door Mindfart: @Redactie

Bron?

(aangezien DHCP helemaal niks met dit verhaal te maken kan hebben wilde ik even checken wie dat verzonnen had, dit moet NAT zijn waarschijnlijk)

Daar heeft Mindfart wel een punt mee...
29-12-2018, 13:40 door [Account Verwijderd]
Door Mindfart: @Redactie

Bron?

(aangezien DHCP helemaal niks met dit verhaal te maken kan hebben wilde ik even checken wie dat verzonnen had, dit moet NAT zijn waarschijnlijk)

Het is niet verzonnen:
https://blog.kryptoslogic.com/malware/2017/12/20/end-of-year.html

....maarr, let op de datum.

@Redactie, Ik vergis me ook wel eens in de datum. Maar een heel jaar is wel bijzonder! :-)
29-12-2018, 16:11 door Anoniem


@Redactie, Ik vergis me ook wel eens in de datum. Maar een heel jaar is wel bijzonder! :-)

Nee hoor, de tweet is geen jaar oud, slechts een week.
29-12-2018, 19:15 door [Account Verwijderd]
Door Anoniem:


@Redactie, Ik vergis me ook wel eens in de datum. Maar een heel jaar is wel bijzonder! :-)

Nee hoor, de tweet is geen jaar oud, slechts een week.

https://blog.kryptoslogic.com/malware/2017/12/20/end-of-year.html

Er staat dus 100% 2017, zegge: tweeduizend zeventien.
Als dat nog niet overtuigend géén 2018 is, hieronder de aanhef van het bewuste artikel:

WannaCry: End of Year Retrospective

Dec 20, 2017 • Kryptos Logic

Meer kan ik niet toevoegen. Indien dat nog niet overtuigend voldoende is, zie je ook de aarde blijkbaar eerder als een kubus in plaats van bolvormig.

@Anoniem, Bij deze speciaal voor jou, als hoogste uitzondering, alvast een voorspoedig 2018 toegewenst.
29-12-2018, 22:27 door -karma4
Door Balder:
Door Mindfart: @Redactie

Bron?

(aangezien DHCP helemaal niks met dit verhaal te maken kan hebben wilde ik even checken wie dat verzonnen had, dit moet NAT zijn waarschijnlijk)

Het is niet verzonnen:
https://blog.kryptoslogic.com/malware/2017/12/20/end-of-year.html

Waar staat daarin iets over DHCP?
30-12-2018, 10:45 door Anoniem
Er staat één link in het artikel, klik daar eens op. Daar komt het DHCP uit en het feit dat het echt over data uit 2018 gaat.
30-12-2018, 19:24 door [Account Verwijderd]
Door Anoniem: Er staat één link in het artikel, klik daar eens op. Daar komt het DHCP uit en het feit dat het echt over data uit 2018 gaat.

Ik heb met mijn muis de hele tekst woord voor woord gevolgd. Geen enkele keer veranderde de cursor in een wijzend handje.
Waar staat die link? In welke alinea? Ik zie hem dus ècht niet.
30-12-2018, 21:25 door Anoniem
Tech scammers opzoeken en infecteren met WannaCry is niet zo handig. Daarom staat India ook in de lijst ;)
30-12-2018, 21:58 door Anoniem
De naam Jamie Hankins is een link naar een twitter bericht.
31-12-2018, 08:37 door -karma4 - Bijgewerkt: 31-12-2018, 09:15
Door Balder:
Door Anoniem: Er staat één link in het artikel, klik daar eens op. Daar komt het DHCP uit en het feit dat het echt over data uit 2018 gaat.

Ik heb met mijn muis de hele tekst woord voor woord gevolgd. Geen enkele keer veranderde de cursor in een wijzend handje.
Waar staat die link? In welke alinea? Ik zie hem dus ècht niet.

Ik zie de miscommunicatie al. Jij hebt het over dat Kryptos Logic blog artikel en Anoniem heeft het over het redactie artikel, hier bovenaan... Het redactie artikel verwijst naar een tweet op Twitter en in de replies daar zag ik gisteren - nu niet meer (huh?) - iets over DHCP-churn (hergebruik hetzelfde IP-adres).

En ik lees (elders op internet) dat men tegenwoordig wel degelijk - via de WebRTC extension van HTML5 - met JavaScript een lokaal IP-adres kan achterhalen (daarmee NAT 'omzeilend'). Proof of concept hier:

http://net.ipcalf.com.

Gebruik view-source:net.ipcalf.com om de embedded JavaScript broncode te zien.

Uiteindelijk had Mindfart misschien toch géén punt hier...
31-12-2018, 15:06 door [Account Verwijderd] - Bijgewerkt: 31-12-2018, 15:12
Maar goed, het gaat dus om DHCP churn, waardoor machines vaker van IP wisselen.. als ze dan idd naar buiten toe over hetzelfde IP geNAT worden.. dan snap ik het ja. (carrier grade NAT zal ook een rol spelen gok ik)
01-01-2019, 11:13 door Briolet
Door The FOSS: … Het redactie artikel verwijst naar een tweet op Twitter en in de replies daar zag ik gisteren - nu niet meer (huh?) - iets over DHCP-churn (hergebruik hetzelfde IP-adres).

Ik zie het nog steeds staan in het originele twitterbericht:
Over the course of a week we see:
17,088,121 beacons from 639,507 unique SrcIPs (DHCP churn obviously is a factor) across 194 countries
Maar NAT en DHCP hangt natuurlijk samen. Achter een NAT moet je zelf IP adressen definiëren en doorgaans gebeurt dat met DHCP. Als Jamie het over DHCP churm heeft, bedoelt hij er het NAT gebeuren mee. De redactie heeft alleen iets beter uitgelegd wat Jamie met DHCP-churn bedoelt.

Door The FOSS: … En ik lees (elders op internet) dat men tegenwoordig wel degelijk - via de WebRTC extension van HTML5 - met JavaScript een lokaal IP-adres kan achterhalen (daarmee NAT 'omzeilend')…

Dat werkt alleen bij een verbinding via specifieke browsers. Die pagina schrijft zelf:
In Chrome and Firefox your IP should display automatically, by the power of WebRTCskull.
Mijn browser laat niets zien. Bovendien wordt die killswitch niet via browsers aangeroepen, of iets waar überhaubt JavaScript aanwezig is.
02-01-2019, 09:21 door -karma4 - Bijgewerkt: 02-01-2019, 09:21
Door Briolet:
Door The FOSS: … En ik lees (elders op internet) dat men tegenwoordig wel degelijk - via de WebRTC extension van HTML5 - met JavaScript een lokaal IP-adres kan achterhalen (daarmee NAT 'omzeilend')…

Dat werkt alleen bij een verbinding via specifieke browsers. Die pagina schrijft zelf:
In Chrome and Firefox your IP should display automatically, by the power of WebRTCskull.
Mijn browser laat niets zien. Bovendien wordt die killswitch niet via browsers aangeroepen, of iets waar überhaubt JavaScript aanwezig is.

Het gaat bij die lokale IP's niet over de killswitch maar over hoe vast te stellen of een computer uniek is bij het vaststellen van aantallen besmette systemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.