image

Shamoon-aanval die duizenden pc's wiste begon met macro

donderdag 16 februari 2017, 12:18 door Redactie, 12 reacties

Een aanval die eind vorig en begin dit jaar plaatsvond en waarbij de harde schijven van duizenden computers in Saoedi-Arabië en andere golfstaten werden gewist, begon met een kwaadaardige macro. Dat stellen onderzoekers van IBM, Palo Alto Networks en SecureWorks in nieuwe analyses.

De recente aanvallen hadden veel overeenkomsten met de Shamoon-malware die in 2012 al 30.000 computers van de Saoedische oliegigant Saudi Aramco saboteerde. Hoe deze nieuwe variant, Shamoon 2 genaamd, zich verspreidde was echter onbekend. Wel was duidelijk dat de aanvallers toegang tot het netwerk van de aangevallen organisaties hadden voordat de computers werden gewist, aangezien Shamoon 2 wachtwoorden van beheerders gebruikte.

Onderzoekers stellen nu dat de aanvallers e-mails met afgekorte links naar Excel- en Word-documenten verstuurden. Hiervoor werden gespoofte en mogelijk ook gehackte websites van de Saoedische overheid alsmede Egyptische en Saoedische bedrijven gebruikt. Daardoor leek het om een legitiem document te gaan. In werkelijkheid bevatte het document echter een kwaadaardige macro. Zodra gebruikers de macro inschakelden werd de PupyRAT-malware geïnstalleerd.

Eenmaal actief verzamelde deze malware de wachtwoorden van systeembeheerders en bracht belangrijke systemen in kaart. Vervolgens werd Shamoon 2 gelanceerd die harde schijven van besmette computers wiste en de systemen zo onbruikbaar maakte. Volgens de onderzoekers laat de aanval zien dat organisaties hun werknemers moeten onderwijzen over het gevaar van gerichte phishingmails en afgekorte links. Daarnaast moeten organisaties macro's in Microsoft Office-producten uitschakelen.

Image

Reacties (12)
16-02-2017, 12:40 door Anoniem
Waarom zou je in hemelsnaam in e-mail verkorte url's nodig hebben? Botweg blokkeren die hap; Die diensten heb je alleen nodig binnen Twitter..
16-02-2017, 12:56 door User2048
Daarnaast moeten organisaties macro's in Microsoft Office-producten uitschakelen.
Macro's in Office hebben een functie. Veel organisaties gebruiken macro's om nuttige functionaliteit te bouwen. Macro's helemaal uitzetten is dus niet de oplossing.

Een tussenvorm is om macro's niet automatisch te laten uitvoeren, en de gebruiker om toestemming te vragen. Veel gebruikers klikken echter op alles wat voor hun neus verschijnt, als ze hun werk maar kunnen doen.

Wie weet een werkbare en veilige oplossing?
16-02-2017, 13:28 door Ron625
Door User2048:Wie weet een werkbare en veilige oplossing?
Doe net als de overheden en werk alleen met openstandaarden, dan zijn macro's zelfs onbruikbaar.
16-02-2017, 14:12 door Anoniem
Door Ron625:
Door User2048:Wie weet een werkbare en veilige oplossing?
Doe net als de overheden en werk alleen met openstandaarden, dan zijn macro's zelfs onbruikbaar.

Want? Open standaarden ondersteunen geen macro's? Of wellicht niet de macro's die nu voor excel en word geschreven worden. Want een product zonder macro-support is niet echt een product.
En je zal zien, zodra er genoeg "klanten" die open standaarden gebruiken zal ook dat de aandacht trekken van de criminelen (of de NSA natuurlijk)...
16-02-2017, 14:46 door Anoniem
Zit het hele verhaal na te lezen op https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/ maar de macro is slechts een radartje in het geheel. De hele aanval zit verder vernuftig in elkaar. Ik gok dat Iran er achter zit.
16-02-2017, 15:15 door Anoniem
Door Anoniem: Zit het hele verhaal na te lezen op https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/ maar de macro is slechts een radartje in het geheel. De hele aanval zit verder vernuftig in elkaar. Ik gok dat Iran er achter zit.
Maar wel het radartje waardoor het hele rad kon draaien....
16-02-2017, 16:08 door karma4
Door Anoniem:
Maar wel het radartje waardoor het hele rad kon draaien....
Dat is met elk radertje zo. Je hebt ze allemaal nodig. Welke hebben nog meer gefaald...?
16-02-2017, 18:06 door Anoniem
Hoe kun je nu via gewiste computers erachter komen hoe de aanval heeft plaatsgevonden?
16-02-2017, 22:05 door Anoniem
Door Anoniem:
Door Ron625:
Door User2048:Wie weet een werkbare en veilige oplossing?
Doe net als de overheden en werk alleen met openstandaarden, dan zijn macro's zelfs onbruikbaar.

Want? Open standaarden ondersteunen geen macro's? Of wellicht niet de macro's die nu voor excel en word geschreven worden. Want een product zonder macro-support is niet echt een product.
En je zal zien, zodra er genoeg "klanten" die open standaarden gebruiken zal ook dat de aandacht trekken van de criminelen (of de NSA natuurlijk)...

In LibreOffice kan je wel onder de security tab Macro's inschakelen en uitgebreid configureren.
Het is alleen niet erg nodig want MicrosoftMalwareMicro's werken niet in open standaard LibreOffice.

Hoewel LibreOffice steeds groter wordt en veel gebruikers kent is het nog lang geen standaard.
En zolang het geen standaard is wordt er geen tot vrijwel malware voor geschreven.

Ja, dat kan je security by obscurity noemen, maar hoe je het noemt zal de eindgebruiker wordt wezen als het werkt.
En dat is een ding wat zeker is.
Net als dat het vrij zeker is dat aan dit security voordeel voorlopig weinig zal veranderen.
Gratis en veilig, wat wil je nog meer?

O, een m$ stickertje erop?
Nee, dat zit er niet in, alhoewel, ms is druk bezig zich in opensource producten al deelnemend en implementerend in te graven. Maar voorlopig komt er geen ms stickertje op Libre Office en is het dus een veilig en echt gratis pakket.
17-02-2017, 01:42 door Anoniem
Door Anoniem: Hoe kun je nu via gewiste computers erachter komen hoe de aanval heeft plaatsgevonden?

Wellicht naspelen met soortgelijke werkplekken en gebruikeraccounts en de gebruikers email openen en op die links klikken?

Ik zou me zo kunnen voorstellen dat er gebruikers waren die een indicatie gaven....
17-02-2017, 12:09 door Ron625
Door Anoniem:
Het is alleen niet erg nodig want MicrosoftMalwareMicro's werken niet in open standaard LibreOffice.
Hier worden weer dingen door elkaar gehaald.
LibreOffice is software en maar één van de vele voorbeelden van OpenSource.
Een OpenStandaard is geen software, maar een afspraak.
20-02-2017, 14:00 door Anoniem
Door Anoniem:Maar wel het radartje waardoor het hele rad kon draaien....

Let even op dat dit niet door skiddies is uitgevoerd, dit is een bewuste (nation state?!) aanval geweest. Als dit radartje niet aanwezig was geweest dan had het wel vervangen worden door een andere. Met dit soort aanvallen is het een geen kwestie van "of", maar van "wanneer".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.