image

Ransomware gebruikt Wake-on-Lan om uitgezette pc's te versleutelen

dinsdag 14 januari 2020, 15:03 door Redactie, 19 reacties
Laatst bijgewerkt: 14-01-2020, 15:28

De beruchte Ryuk-ransomware maakt gebruik van Wake-on-Lan (WoL) om uitgeschakelde computers aan te zetten zodat die vervolgens zijn te versleutelen. Wake-on-Lan is een standaard waarmee uitgeschakelde computers door het versturen van een "magic packet" zijn in te schakelen. De machine in kwestie moet WoL wel ondersteunen en ook hebben ingeschakeld. De functie is vooral bedoeld voor systeembeheerders, maar wordt ook door de criminelen achter Ryuk toegepast.

Zodra Ryuk een machine besmet heeft leest het de Address Resolution Protocol (ARP) cache van de computer uit. In de ARP-cache staan ip-adressen van computers in het netwerk. Ryuk stuurt vervolgens naar alle adressen het magic packet. Zodra de machine is ingeschakeld probeert Ryuk de administrative share te mounten. Wanneer dit lukt versleutelt Ryuk bestanden op de betreffende computer.

De WoL-feature van de Ryuk-ransomware werd afgelopen november door securitybedrijf Crowdstrike beschreven. Volgens onderzoeker Kurt Baumgartner van antivirusbedrijf Kaspersky is de functie er al sinds september 2019. Ook de nieuwste versie van Ryuk maakt gebruik van Wake-on-Lan. Volgens Crowdstrike probeert de ransomware met deze feature het aantal te versleutelen machines te maximaliseren.

"Dit is hoe de groep het netwerkbrede ransomwaremodel heeft aangepast om meer machines via een enkele infectie te raken en de machines via WoL en ARP te bereiken", laat beveiligingsonderzoeker Vitali Kremez tegenover Bleeping Computer weten. "Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen."

Reacties (19)
14-01-2020, 15:11 door Anoniem
Wake-on-Lan (WoL) Uitzetten in het bios/EFI). UEFI
14-01-2020, 15:37 door MathFox
Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.
14-01-2020, 15:53 door Anoniem
Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.
Ja,
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,

etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH
14-01-2020, 16:00 door karma4
Door Anoniem:…..
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH
Uit het artikel:
"Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen."
14-01-2020, 16:14 door Anoniem
Door Anoniem: Wake-on-Lan (WoL) Uitzetten in het bios/EFI). UEFI
Precies. Of misschien is er een jumper voor aanwezig.
14-01-2020, 16:23 door Anoniem
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

Zo gek is dat toch niet? Het gemiddelde huishouden heeft flink wat spullen in z'n netwerk hangen, van slimme lampen, tot deurbellen, digitale videorecorders en smart-TVs, netwerk camera's en printers. Ze moeten al patchen als een sysadmin, backups maken, bestand zijn tegen social engineering door onze 'vrienden' uit India.

Dan kan dit er ook nog wel bij...

Wie heeft er overigens nog een pc thuis? En een pc waarbij WOL het doet?

TheSquare
14-01-2020, 16:49 door Anoniem
Door Anoniem:
Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.
Ja,
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,

etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

Ja, dat worden ook wel private vlan's genoemd en zijn een ontzettend goed idee! (Ook voor thuis)
14-01-2020, 17:40 door linux4
Of je hangt de wasmachine, koelkast etc. niet aan het internet. Mijn wasmachine en koelkast kunnen dat niet eens maar ze functioneren al vele jaren probleemloos. Wake-on-LAN voor thuis is zelden nodig behalve b.v. een NAS.

@TheSquare: ik heb nog een desktop pc thuis die met Linux nog lang mee kan. WoL staat uitgeschakeld in de BIOS.
14-01-2020, 18:03 door Anoniem
Door linux4: @TheSquare: ik heb nog een desktop pc thuis die met Linux nog lang mee kan. WoL staat uitgeschakeld in de BIOS.

Weet je wel heel zeker dat het WoL door die ene BIOS setting daadwerkelijk is uitgeschakeld?

1. Schakel het WoL even in, en kijk of het WoL gewoon werkt.
2. Schakel het WoL weer uit, en test of het ook echt uit is... ;-)

Niet verbaast zijn dat je PC desondanks gewoon weer opstart...
14-01-2020, 19:59 door linux4
Door Anoniem:
Door linux4: @TheSquare: ik heb nog een desktop pc thuis die met Linux nog lang mee kan. WoL staat uitgeschakeld in de BIOS.

Weet je wel heel zeker dat het WoL door die ene BIOS setting daadwerkelijk is uitgeschakeld?

1. Schakel het WoL even in, en kijk of het WoL gewoon werkt.
2. Schakel het WoL weer uit, en test of het ook echt uit is... ;-)

Niet verbaast zijn dat je PC desondanks gewoon weer opstart...

Geen idee hoe ik dat ik een simpel thuis netwerk zou moeten realiseren met een consumenten/provider router. Volgens mij is die optie er niet standaard.
14-01-2020, 21:49 door Briolet
Leuk idee, maar als dat werkt, was de PC toch al niet goed beveiligd. Het enige wat WoL doet is het aanzetten van de PC. Als dat genoeg is, kan de ransomeware zijn werk ook doen als de PC regulier aan staat.
14-01-2020, 22:18 door Anoniem
Door linux4: Geen idee hoe ik dat ik een simpel thuis netwerk zou moeten realiseren met een consumenten / provider router. Volgens mij is die optie er niet standaard.

Stuur met Etherwake vanaf een Raspberry Pi, die je aan je eigen LAN router koppelt, magic Wake-on-LAN packets naar alleen de eigen apparaten binnen je eigen LAN. Mochten jouw slapende computers of printer plots vanuit het niets opstarten, dan heb je mogelijk een probleem. Aangenomen dat je overtuigd was dat het WoL in de BIOS opties uit stond.
14-01-2020, 23:45 door Anoniem
jullie hebben het over fysieke PC's maar hoe werkt dat met virtuele PC's
15-01-2020, 08:31 door Anoniem
Wol wordt vaak gebruikt door patch mechanismen om machines die uit staan te activeren en te updaten.

Het verbaast me trouwens dat Wol redelijk laat door Malware wordt gebruikt.
15-01-2020, 09:07 door Anoniem
Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

Standaard in een fatsoenlijke enterprise omgeving. Bij voorkeur communicatie tussen segmenten ook door een firewall laten lopen.
15-01-2020, 11:56 door Anoniem
Door Anoniem:
Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.
Ja,
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,

etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

't Is zo simpel:
- wasmachine niet aan het netwerk (domme wasmachine: mag alleen wassen)
- koelkast niet aan het netwerk (domme koelkast: mag alleen koelen)
- deurbel niet aan het netwerk (domme deurbel; niks camera's ofzo... gedoe)
- TV niet aan het netwerk (domme TV: alleen beelden laten zien)
15-01-2020, 23:17 door Anoniem
Door Anoniem: Wake-on-Lan (WoL) Uitzetten in het bios/EFI). UEFI
Ja joh, dat werkt prima bij onze 5.000 werkstations die gepland met WOL aangezet worden s'nachts en updates installeren en weer uitgaan.
Als je nou eens een *goede* oplossing neerzet in plaats van wat populistisch gelul.
16-01-2020, 00:48 door Anoniem
Door Anoniem:
Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.
Ja,
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,

etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

1 voorbeeld is misschien relevant.de tv.
Koelkast hoeft niet open als ik niet thuis ben. De deur ook niet. En een wasmachine zou ik ook niet weten waarom. Kan die van mij met een paar simpele knoppen instellen dat die klaar is op het moment dat ik thuiskom met een ingebouwde timer. Dan kan ik alles gelijk ophangen, of doet die slimme wasmachine dat dan ook ?
16-01-2020, 17:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.
Ja,
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,

etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

1 voorbeeld is misschien relevant.de tv.
Koelkast hoeft niet open als ik niet thuis ben. De deur ook niet. En een wasmachine zou ik ook niet weten waarom. Kan die van mij met een paar simpele knoppen instellen dat die klaar is op het moment dat ik thuiskom met een ingebouwde timer. Dan kan ik alles gelijk ophangen, of doet die slimme wasmachine dat dan ook ?
Wasmachines kunnen soms opeens aan de wandel gaan of water gaan lekken. Dit zijn geen apparaten om te laten draaien als je er niet bij bent.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.