Microsoft: Oekraïense organisaties doelwit van malware die systemen saboteert
Meerdere Oekraïense organisaties en overheidsinstanties zijn doelwit van malware geworden die zich voordoet als ransomware, maar in werkelijkheid bestanden en de Master Boot Record (MBR) van systemen overschrijft waardoor de computers niet meer opstarten, zo stelt Microsoft op basis van eigen onderzoek. Volgens het techbedrijf is het doel van de aanvallers dan ook sabotage in plaats van het verkrijgen van losgeld.
De eerste aanvallen met de malware werden op 13 januari waargenomen. Hoe de malware wordt verspreid laat Microsoft niet weten. Eenmaal actief overschrijft de malware de MBR en laat een zogenaamde losgeldboodschap zien. Daarin wordt gesteld dat het slachtoffer losgeld moet betalen om zijn systeem te herstellen. Er ontbreekt echter een herstelmechanisme, waardoor het niet mogelijk is om de MBR te herstellen, ook al wordt het losgeld betaald.
De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Nadat de MBR is overschreven wordt er aanvullende malware gedownload die allerlei bestanden overschrijft waardoor die onbruikbaar worden. Microsoft heeft op tientallen systemen de malware aangetroffen, maar vermoedt dat het werkelijke aantal slachtoffers hoger ligt.
"Gegeven de schaal van de waargenomen aanvallen kan Microsoft de bedoeling van de destructieve acties niet bepalen, maar denkt dat die een verhoogd risico voor alle overheidsinstanties, non-profitorganisaties en bedrijven met systemen in Oekraïne vormen", aldus Microsoft. Dat roept organisaties op om meteen een onderzoek binnen hun eigen omgeving uit te voeren en verdedigingsmaatregelen toe te passen, waaronder het inschakelen van multifactorauthenticatie.
Ik zal wel heel slecht lezen maar is zie op deze hele pagina alleen in jouw comment "Rusland" staan.
En waar staat dat Rusland erachter zou zitten? Redactie schrijft dit niet in het artikel en Microsoft ook niet in hun artikelen waaraan redactie refereert. Idem over Amerika die spanningen zou veroorzaken. Dus waar haal je het vandaan?
Geen idee waar deze post over gaat. Russische fanboy-trol?
Het rapport van Microsoft noemt geen land en in de nederlandse media is alleen gemeld dat de Oekraiense overheid *zegt* bewijs te hebben dat Rusland achter de aanval zit. Niet meer, niet minder.
Dat heet telemetrie.
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Dat is de enige vraag die ertoe doet. Microsoft zou zich bezig moeten houden met het VERBETEREN [1] van hun eigen zooi, ze zijn volgens mij niet bevoegd om zich bezig te gaan houden met opsporing.
[1] Met verbeteren van software bedoel ik natuurlijk niet het continue vertragen van hun software, maar zo iets als Windows XP in de lucht kunnen laten houden zonder dat je om de 5 minuten gehacked wordt.
Geen idee, dat is het hem juist. Als we het niet weten, dan moeten we geen conclusies trekken hoe die kennis bij Microsoft is gekomen. Misschien is hun hulp ingeroepen nadat machines niet meer op kwamen, misschien hebben ze van een reseller de hardware toegestuurd gekregen en hebben ze daar malware op gevonden die overeenkwam met malware die ze zelf al hebben geanalyseerd als onderdeel van hun threat werkzaamheden (waar binnen Microsoft heel veel tijd en geld om gaat), misschien .... We weten het niet, dus het is nutteloos om meteen de conclusie te trekken "moet wel telemetrie zijn".
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Is dat zo joh? Ik heb al heel wat problemen met Microsoft systemen onder handen gehad maar ik heb nog nooit
de stap genomen om bij Microsoft aan te kloppen. Ik heb ook altijd begrepen dat dit geen zin heeft omdat je support
moet krijgen van je LEVERANCIER (c.q. de fabrikant) niet van Microsoft. En ik verwacht ook niet veel van een belletje
naar een eerstelijns helpdesk in India.
Ook zou je niet zeggen dat men "bakken met software en security kennis in huis heeft" als je ziet wat ze releasen...
maar dat is makkelijk praten natuurlijk.
Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
naar internet gerouteerd staat omdat dit zo handig is bij software updates enzo. Op het werk moet ik eerst een ethernet
kabel over steken voor de "Dell lifecycle controller" werkt, maar dat zal niet iedereen handig vinden.
En die genoemde technologieen (met name die eerste 2) zijn voldoende complex om me niet het veilige gevoel te
geven wat jij er kennelijk bij hebt.
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Is dat zo joh? Ik heb al heel wat problemen met Microsoft systemen onder handen gehad maar ik heb nog nooit
de stap genomen om bij Microsoft aan te kloppen. Ik heb ook altijd begrepen dat dit geen zin heeft omdat je support
moet krijgen van je LEVERANCIER (c.q. de fabrikant) niet van Microsoft. En ik verwacht ook niet veel van een belletje
naar een eerstelijns helpdesk in India.
Ook zou je niet zeggen dat men "bakken met software en security kennis in huis heeft" als je ziet wat ze releasen...
maar dat is makkelijk praten natuurlijk.
Post het hier even op dit forum.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
