Microsoft heeft de afgelopen maand een usb-worm die tot ransomware-infecties kan leiden op drieduizend computers van zo'n duizend organisaties gedetecteerd. De usb-worm kan zich mede verspreiden omdat organisaties AutoRun inschakelen, een functie die vanwege beveiligingsredenen standaard in Windows voor usb-sticks staat uitgeschakeld. Dat laat Microsoft in een analyse weten.
De worm wordt Raspberry Robin genoemd en kan zich op twee manieren verspreiden. De eerste manier is het gebruik van malafide lnk-bestanden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick of hebben de naam van een usb-stickfabrikant. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd.
De tweede gebruikte methode is het gebruik van AutoRun. Via deze functionaliteit kan software op bijvoorbeeld usb-sticks automatisch worden gestart zodra het apparaat wordt aangesloten. Jaren geleden werd AutoRun op grote schaal gebruikt voor de verspreiding van malware via usb-sticks. Microsoft besloot daarop de functionaliteit te beperken, zodat die standaard niet voor usb-sticks werkt. Veel bedrijven schakelen AutoRun echter in voor usb-sticks, zo claimt Microsoft.
Eenmaal actief voegt Raspberry Robin een registersleutel toe zodat de malware bij elke start van het systeem wordt geladen. Vervolgens kan de usb-worm aanvullende malware installeren. Ook gebruiken ransomwaregroepen de toegang die Raspberry Robin biedt om vervolgens binnen de getroffen organisatie ransomware uit te rollen. Zo hebben verschillende infecties met de usb-worm geleid tot besmettingen met de beruchte Clop-ransomware. Om de dreiging tegen te gaan adviseert Microsoft om AutoRun niet voor usb-sticks en andere schijven in te schakelen en onvertrouwde en ongesigneerde processen vanaf usb-sticks te blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.