Conficker worm infecteert Nederlandse overheid - update
Tientallen Nederlandse bedrijven en zelfs een overheidsinstelling zijn door de Conficker (Downadup) worm besmet geraakt, zo laat de Russische virusbestrijder Kaspersky Lab tegenover Security.nl weten. De worm sloeg eerder toe bij de Bulgaarse en Oostenrijkse overheid en infecteerde drieduizend ziekenhuiscomputers. In het geval van Nederland gaat het om bedrijven met zo'n 200 a 300 werknemers. Welke overheidsinstelling is getroffen wil de virusbestrijder niet zeggen, maar het geeft wel de omvang van het probleem aan.
Ella Broos, woordvoerster van GOVCERT, laat weten dat het geen meldingen van deelnemers over eventuele besmettingen heeft ontvangen. Deelnemers zijn overheidsinstanties die GOVCERT adviseert. De worm is echter wel actief binnen onze landsgrenzen. Volgens Broos zijn er al zeker vierhonderd IP-adressen waargenomen waarachter zich één of meerdere besmette systemen bevinden. Toen de update van Microsoft uitkwam heeft GOVCERT hiervoor gewaarschuwd, daarnaast publiceerde het deze factsheet waarin het de kwetsbaarheid uitlegt.
Lam netwerk
De conficker worm, ook bekend als Downadup, verspreidt zich op verschillende manieren, zoals USB-sticks, gedeelde netwerk mappen het in oktober gepatchte beveiligingslek in Windows. Het niet installeren van deze update is de voornaamste reden van de infectie, zegt Kaspersky evangelist Eddy Willems. Bij getroffen bedrijven zat men "echt met de gebakken peren omdat het netwerk lam lag", aldus de Belg.
Er zijn inmiddels talloze varianten in omloop, wat de bedoeling precies is, is nog onduidelijk. De worm blokkeert in ieder geval de toegang tot de websites van anti-virusbedrijven en het forum van Wilderssecurity. Daarnaast schakelt de worm de Systeemherstel functie uit. Eerdere varianten hadden het voornamelijk op de inloggegevens van online spellen gezien, wat de nieuwe varianten doen is nog onduidelijk. Eerder lieten onderzoekers van het Finse F-Secure weten dat er mogelijk een gigantish nieuw botnet wordt gemaakt, iets wat ook Willems niet onmogelijk acht. Het totale aantal infecties bedraagt wereldwijd inmiddels meer dan 3,5 miljoen machines, voornamelijk in opkomende landen.
Microsoft tool
Dinsdag bracht Microsoft een nieuwe versie van haar gratis Malicious Software Removal Tool uit om malware mee te verwijderen, toch verwacht Willems hier niet veel van. "Begrijp me niet verkeerd, het is een uitstekende tool, maar wie gebruikt hem?". Daar komt bij dat men de tool voornamelijk via Windows Update binnenkrijgt en dat is nu net datgene wat besmette gebruikers niet doen, het updaten van hun Windows Systeem. Vandaag werd bekend dat dertig procent van de Windows computers niet de update heeft geïnstalleerd waardoor de worm systemen weet over te nemen.
Metasploit
De manier waarop de nieuwe varianten het lek in de Windows Server Service misbruiken is afkomstig van de populaire hackertool Metasploit, zo ontdekten onderzoekers van McAfee. Aangezien er gigantisch veel Windows XP systemen zijn is het logisch dat de auteurs van de worm Metasploit voor eigen gewin gebruiken, aangezien dit hun eigen werk een stuk eenvoudiger maakt. Wat betreft de toekomst denkt Willems dat we vaker dit soort aanvallen kunnen zien. Het zou dan om pure zero-day aanvallen gaan.
Update 22:10
In tegenstelling tot eerdere berichtgeving heeft GOVCERT wel activiteit in Nederland waargenomen, alleen niet bij de overheidsinstanties die als deelnemer actief zijn.
Natuurlijk, dat niet alleen, maargoed.. Dat snappen de meeste (hier) ook wel..
[...] Geschikt
[X] Ongeschikt
Haha, met dezelfde nitwits aan het stuur en met Linux zijn ze na al een week in handen van de russische malware maffia.
Serieus: de meeste admins in grote bedrijven zijn halfgare overbetaalde poedels die meer met hun vrije tijd bezig zijn dan met hun werk. Die patch is 2 maanden oud. En kom niet af met : ik moet mijn patch testen. Dit is ook al een urban legend.
Serieus: de meeste admins in grote bedrijven zijn halfgare overbetaalde poedels die meer met hun vrije tijd bezig zijn dan met hun werk. Die patch is 2 maanden oud. En kom niet af met : ik moet mijn patch testen. Dit is ook al een urban legend.
Patches wil je in sommige gevallen wel testen. Maar patches zoals deze test je binnen een week. Wij rollen een dergelijke patch uit op testservers op donderdag. De systemen die er gevoelig voor zijn op vrijdag en de systemen die extra beschermd zijn, en dus niet bereikbaar zijn, op maandag.
Dan hebben de testsystemen een aantal dagen extra gedraaid. En Microsoft kan met een gewijzigde patch komen. Dat gebeurt niet vaak, maar toch te vaak om er op te vertrouwen dat de eerste versie correct is. Vooral bij systemen waar het leven van je organisatie van afhankelijk is.
Oja, over die vrije tijd. Ik weet hoe een aantal van mijn teamleden over vrije tijd denken: "Hoe leg ik het mijn vrouw uit dat ik deze maand weer een paar dagen 's morgens vroeg moet beginnen om de systemen in orde te maken."
Peter
Ja, dat is nogal wiedes zeg. Iedereen die iets aan beveiliging wil doen zit bij GOVERT. Wie niet aan beveiliging doet - en dus makkelijk geïnfecteerd raakt - zit niet bij GOVERT aangesloten.
hoevaak moeten ze het lesje nog leren voor ze linux nemen?
Als zij de update hadden geïnstalleerd toen het moest had dit probleem gewoon nooit voorgekomen. En nu kan je mischien zeggen dat sommige systemen in ziekenhuizen niet zomaar kunnen uitgeschakeld worden, maar als er een degelijk beheer was hadden ze zowiezo al een backup-systeem dat ze op dat moment konden inschakelen terwijl de master wordt herstart. Ik ben eigenlijk wel benieuwd welke ziekenhuizen dat hebben of daaraan gedacht hebben voor dit voorkwam.
Dat is in feite nog het meest frustrerende aan deze worm vind ik. Nu dat berichtgeving hiervoor ook in de mainstream media gebeurd hoor je die eikels verkondigen dat ze niet weten hoe hun netwerk geïnfecteerd is geweest...
Terwijl ze heel goed weten dat het komt dat ze ms08-067 pas geïnstalleerd hebben toen ze merkten dat er toch wel heel veel open connecties op port 445 waren. Wat een nare ontdekking dan dat die patch alleen maar preventief werkte.
Op zich is het al verwonderlijk dat ze pas nu geïnfecteerd zijn vind ik, want die patch zal natuurlijk niet de enige zijn die ze gemist hebben.
hoevaak moeten ze het lesje nog leren voor ze linux nemen?
Dat geeft de burger weer moed, eindelijk iemand die het volledig begrijpt.
[...] Geschikt
[X] Ongeschikt
Hahah, deze is goed ;)
Kan het vista niet treffen!?
Ik ben nogal ongerust over mn pc, ik zou niet wille dat ik wéér een nieuwe moet kope! =S
(bange groetjes)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.