Microsoft: Oekraïense organisaties doelwit van malware die systemen saboteert
Meerdere Oekraïense organisaties en overheidsinstanties zijn doelwit van malware geworden die zich voordoet als ransomware, maar in werkelijkheid bestanden en de Master Boot Record (MBR) van systemen overschrijft waardoor de computers niet meer opstarten, zo stelt Microsoft op basis van eigen onderzoek. Volgens het techbedrijf is het doel van de aanvallers dan ook sabotage in plaats van het verkrijgen van losgeld.
De eerste aanvallen met de malware werden op 13 januari waargenomen. Hoe de malware wordt verspreid laat Microsoft niet weten. Eenmaal actief overschrijft de malware de MBR en laat een zogenaamde losgeldboodschap zien. Daarin wordt gesteld dat het slachtoffer losgeld moet betalen om zijn systeem te herstellen. Er ontbreekt echter een herstelmechanisme, waardoor het niet mogelijk is om de MBR te herstellen, ook al wordt het losgeld betaald.
De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Nadat de MBR is overschreven wordt er aanvullende malware gedownload die allerlei bestanden overschrijft waardoor die onbruikbaar worden. Microsoft heeft op tientallen systemen de malware aangetroffen, maar vermoedt dat het werkelijke aantal slachtoffers hoger ligt.
"Gegeven de schaal van de waargenomen aanvallen kan Microsoft de bedoeling van de destructieve acties niet bepalen, maar denkt dat die een verhoogd risico voor alle overheidsinstanties, non-profitorganisaties en bedrijven met systemen in Oekraïne vormen", aldus Microsoft. Dat roept organisaties op om meteen een onderzoek binnen hun eigen omgeving uit te voeren en verdedigingsmaatregelen toe te passen, waaronder het inschakelen van multifactorauthenticatie.
Reacties (20)
Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.
Geen enkel bewijs. Wat dacht je van de 100000 soldaten die aan de grens staan? Rusland heeft een doel en dat is het de-stabiliseren van de Oekraine. Daar heeft Amerika niks mee te maken. Die zijn alleen maar bezig met China.
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.
Ik zal wel heel slecht lezen maar is zie op deze hele pagina alleen in jouw comment "Rusland" staan.
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.
En waar staat dat Rusland erachter zou zitten? Redactie schrijft dit niet in het artikel en Microsoft ook niet in hun artikelen waaraan redactie refereert. Idem over Amerika die spanningen zou veroorzaken. Dus waar haal je het vandaan?
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.
Geen idee waar deze post over gaat. Russische fanboy-trol?
Het rapport van Microsoft noemt geen land en in de nederlandse media is alleen gemeld dat de Oekraiense overheid *zegt* bewijs te hebben dat Rusland achter de aanval zit. Niet meer, niet minder.
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Dat heet telemetrie.
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Door Anoniem:
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Door Toje Fos:
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Door Anoniem:
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Door Anoniem:
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Hoe heeft MS dan de malware aangetroffen zoals men zegt?Door Toje Fos:
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Door Anoniem:
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Door Anoniem:
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Door Anoniem:
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Die gaan dat echt niet naar Microsoft sturen. Daarnaast worden die netwerken niet naar het internet gerouteerd.Door Anoniem:
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Dat is de enige vraag die ertoe doet. Microsoft zou zich bezig moeten houden met het VERBETEREN [1] van hun eigen zooi, ze zijn volgens mij niet bevoegd om zich bezig te gaan houden met opsporing.
[1] Met verbeteren van software bedoel ik natuurlijk niet het continue vertragen van hun software, maar zo iets als Windows XP in de lucht kunnen laten houden zonder dat je om de 5 minuten gehacked wordt.
Door Anoniem:Hoe heeft MS dan de malware aangetroffen zoals men zegt?
Geen idee, dat is het hem juist. Als we het niet weten, dan moeten we geen conclusies trekken hoe die kennis bij Microsoft is gekomen. Misschien is hun hulp ingeroepen nadat machines niet meer op kwamen, misschien hebben ze van een reseller de hardware toegestuurd gekregen en hebben ze daar malware op gevonden die overeenkwam met malware die ze zelf al hebben geanalyseerd als onderdeel van hun threat werkzaamheden (waar binnen Microsoft heel veel tijd en geld om gaat), misschien .... We weten het niet, dus het is nutteloos om meteen de conclusie te trekken "moet wel telemetrie zijn".
Door Anoniem:
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Door Toje Fos:
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Door Anoniem:
Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
Bijvoorbeeld bij Microsoft zelf:
https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Door Anoniem:
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Is dat zo joh? Ik heb al heel wat problemen met Microsoft systemen onder handen gehad maar ik heb nog nooit
de stap genomen om bij Microsoft aan te kloppen. Ik heb ook altijd begrepen dat dit geen zin heeft omdat je support
moet krijgen van je LEVERANCIER (c.q. de fabrikant) niet van Microsoft. En ik verwacht ook niet veel van een belletje
naar een eerstelijns helpdesk in India.
Ook zou je niet zeggen dat men "bakken met software en security kennis in huis heeft" als je ziet wat ze releasen...
maar dat is makkelijk praten natuurlijk.
Door Anoniem:
In een goed netwerk niet, nee, maar ik zou ze niet de kost willen geven waar het management netwerk gewoon via NATDoor Anoniem:
Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Die gaan dat echt niet naar Microsoft sturen. Daarnaast worden die netwerken niet naar het internet gerouteerd.Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
naar internet gerouteerd staat omdat dit zo handig is bij software updates enzo. Op het werk moet ik eerst een ethernet
kabel over steken voor de "Dell lifecycle controller" werkt, maar dat zal niet iedereen handig vinden.
En die genoemde technologieen (met name die eerste 2) zijn voldoende complex om me niet het veilige gevoel te
geven wat jij er kennelijk bij hebt.
Door Anoniem:
Is dat zo joh? Ik heb al heel wat problemen met Microsoft systemen onder handen gehad maar ik heb nog nooit
de stap genomen om bij Microsoft aan te kloppen. Ik heb ook altijd begrepen dat dit geen zin heeft omdat je support
moet krijgen van je LEVERANCIER (c.q. de fabrikant) niet van Microsoft. En ik verwacht ook niet veel van een belletje
naar een eerstelijns helpdesk in India.
Ook zou je niet zeggen dat men "bakken met software en security kennis in huis heeft" als je ziet wat ze releasen...
maar dat is makkelijk praten natuurlijk.
Ik precies hetzelfde. Je wordt doorverwezen naar de leverancier. Het enige belletje dat ik in die 30 jaar heb gehad is dat we niet in compliance waren volgens ms en wilden een sniffer in he te netwerk plaatsen.Door Anoniem:
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
Is dat zo joh? Ik heb al heel wat problemen met Microsoft systemen onder handen gehad maar ik heb nog nooit
de stap genomen om bij Microsoft aan te kloppen. Ik heb ook altijd begrepen dat dit geen zin heeft omdat je support
moet krijgen van je LEVERANCIER (c.q. de fabrikant) niet van Microsoft. En ik verwacht ook niet veel van een belletje
naar een eerstelijns helpdesk in India.
Ook zou je niet zeggen dat men "bakken met software en security kennis in huis heeft" als je ziet wat ze releasen...
maar dat is makkelijk praten natuurlijk.
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.
Als u zegt dat er geen enkel bewijs is, dan wil ik ook graag eens uw bewijs zien dat ze er niet achter zitten.Post het hier even op dit forum.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
