image

Microsoft ziet infecties door Petya-ransomware in 65 landen

woensdag 28 juni 2017, 09:48 door Redactie, 19 reacties

Microsoft heeft in 65 landen infecties door de Petya-ransomware gezien, waarbij de meeste besmettingen in Oekraïne werden waargenomen Daarnaast zegt de softwaregigant dat het bewijs heeft dat een aantal actieve infecties door de ransomware via de updatefunctie van de MEDoc-software begonnen.

Dit is door het Oekraïense softwarebedrijf M.E.Doc ontwikkelde boekhoudsoftware. "Zoals we eerder hebben aangegeven zijn aanvallen via de softwareketen een recente en gevaarlijke trend onder aanvallers die geavanceerde verdedigingsmaatregelen vereist", aldus Microsoft. De eerste infecties werden in Oekraïne waargenomen, waar meer dan 12.500 machines met de dreiging te maken kregen. Vervolgens werden infecties in 64 andere landen gezien, waaronder België, Brazilië, Duitsland, Rusland en de Verenigde Staten.

Een andere eigenschap van deze ransomware-versie zijn de mogelijkheden om zich lateraal door een netwerk te bewegen. Slechts één besmette computer is vereist om een geheel netwerk te infecteren. Zo maakt de ransomware gebruik van de Windows Management Instrumentation Command-line (WMIC) om remote shares te vinden en zich daar naar toe te verspreiden. Ook maakt het gebruik van Microsofts eigen PsExec-tool. Om Windowsgebruikers te beschermen heeft Microsoft updates uitgerold voor alle gratis anti-malwareproducten, waaronder Windows Defender en Security Essentials.

Reacties (19)
28-06-2017, 10:08 door Anoniem
zou dit kunnen komen door de eerder geleakte source code?
Dan zijn ze best snel.
28-06-2017, 10:36 door Xhendos
De vraag is of we boven de 150 landen uitkomen dat WannaCry heeft geinfecteerd :?
28-06-2017, 11:21 door karma4
Dus je laat een externe leverancier net autoupdate op local system admin rechten aan de slag gaan.
Waarom is daarvoor niet een apart User account met zeer beperkte rechten voor ingezet?
Met dat soort werkwijzes kan je roepen over least privileges principes maar kennelijk heeft het gemak en snelle (goedkope) resultaat meer prio. Dat is os onafhankelijk.

De vraag is dan wel wat er bij medoc gebeurt is dat ze daar ingebroken hebben.
28-06-2017, 12:16 door [Account Verwijderd]
[Verwijderd]
28-06-2017, 12:20 door Anoniem
Telkens wordt geroepen dat dit elk besturingssysteem/office kan overkomen. Theoretisch klopt dat. Praktisch zijn bedrijven/organisaties jaarlijks wereldwijd TIENTALLEN MILJARDEN kwijt aan specifiek door MS ontwikkelde producten.
En tot nog toe 0,0 aan bv Linux/LibreOffice.
When will they learn!
28-06-2017, 14:03 door Anoniem
Door Neb Poorten:
Door karma4: De vraag is dan wel wat er bij medoc gebeurt is dat ze daar ingebroken hebben.

Heeft dat iets met deze malware te maken? Nee? Open dan een apart onderwerp hiervoor s.v.p.
Het artikel geeft aan dat een deel van de malware verspreid is door 'n update-mechanisme van Medoc...
Is in 't verleden ook al 'ns gebeurd dat hackers een 'nieuwe versie' klaar hadden gezet op de update-servers van dit bedrijf, waardoor de software bij klanten zag dat er een 'nieuwe versie' was, en deze ging downloaden+installeren...

Dus ja, Medoc heeft zeker wel iets met deze malware te maken...
28-06-2017, 14:09 door Xhendos
Door Anoniem: Telkens wordt geroepen dat dit elk besturingssysteem/office kan overkomen. Theoretisch klopt dat. Praktisch zijn bedrijven/organisaties jaarlijks wereldwijd TIENTALLEN MILJARDEN kwijt aan specifiek door MS ontwikkelde producten.
En tot nog toe 0,0 aan bv Linux/LibreOffice.
When will they learn!
Niet akkoord.
We hadden op Linux natuurlijk de beruchte Dirty COW in 2015 uit mijn hoofd.
Ik kan me nog herinneren dat Adobe geupdate moest worden in verband met lekken.
28-06-2017, 14:27 door Anoniem
Door Anoniem: Telkens wordt geroepen dat dit elk besturingssysteem/office kan overkomen. Theoretisch klopt dat. Praktisch zijn bedrijven/organisaties jaarlijks wereldwijd TIENTALLEN MILJARDEN kwijt aan specifiek door MS ontwikkelde producten.
En tot nog toe 0,0 aan bv Linux/LibreOffice.
When will they learn!

Je kunt je ook afvragen, hoeveel zakelijke gebruikers dan werkelijk Linux/LibreOffice gebruiken? En is het rendabel om daar enige energie in te steken als hacker? Er zitten genoeg fouten in die misbruikt kunnen worden. En gebruikers.... Je weet wel, het grooste probleem eigenlijk, maakt het allemaal niet uit. Die doen toch wel wat er gevraagd wordt op hun scherm.

Maar stel je nu eens de zelfde vraag voor Apache vs IIS? Waarom zijn er zoveel apache webservers, terwijl IIS veel minder vaak gehacked wordt. Als je het aantal exploits vergelijkt, is het eigenlijk raar waarom apache eigenlijk nog gebruikt wordt........
28-06-2017, 14:31 door Anoniem
Door Anoniem: zou dit kunnen komen door de eerder geleakte source code?
Dan zijn ze best snel.

Zo als gisteren al bekend is/was. Nee.

(en tot op heden nog steeds geen ander bewijs voor nieuwe exploits.)
28-06-2017, 18:05 door Anoniem
Door Anoniem: zou dit kunnen komen door de eerder geleakte source code?
Dan zijn ze best snel.
Iemand speculeerde dat door die gelekte code de koers van Microsoft vreemde dingen zou doen, nu blijkt dus dat Microsoft aandelen sterk in waarde toenemen.

Zowel bij source code leaks
Zowel bij wereldwijde aanvallen op Microsoft besturingssystemen.

De reden is misschien dat de koers en beurswaarde van Microsoft toeneemt omdat mensen plotseling beseffen hoe afhankelijk ze zijn van Microsoft en dat ze niet zonder kunnen en dat het heel belangrijk is om Microsoft hun laatste Windows 10 te gebruiken.

Windows 10 gebruikt een model gebaseerd op het inwinnen van informatie over de gebruiker van het besturingssysteem.

Maar verder is er ook het vermoeden dat de Engelse (defensie) vloot geheel op Windows XP draait een belangrijke impuls in de koerswaarde van Microsoft.

Immers alleen Microsoft gaat dit voor iedereen fixen.

Ook Nederland is geheel afhankelijk van Microsoft, zonder Microsoft geen defensie meer. Alleen Frankrijk kan op dit moment zonder Microsoft. Rusland is financieel afhankelijk van Microsoft en kan dus nog lang niet zonder.

Kortom, een goede tijd om geld te investeren in Microsoft. En koop zoveel aandelen je kan. Er is behoorlijk veel dividend.
28-06-2017, 19:33 door Anoniem
Ja eerst maak je de eindgebruikers afhankelijk en vervolgens ga je cashen.

Waar kennen we deze praktijken nog meer van?

Eigenlijk worden we een soort van gegijzeld door Silicon valley en we laten het ons nog aanleunen ook.

Ik denk aan de gratis sigaretten, die je uitgedeeld kreeg op het strand van Scheveningen als in de rokende leeftijd kwam. Weet je nog? Later pufte je decennia lang en er zaten ook nog toegevoegde substanties bij om je bij het roken te houden. Nog veel later stond je op een balkonnetje in de regen buiten gezet je af te vragen, wat voor tobberd je toch was geworden en zwoer je de rotzooi af. .......Daarna ingepakt en nooit meer iets opgestoken.

Zal het met propriety software ook zo gaan?. Ging je computer gelijk down, dan was het pleit snel beslecht.
Nu kun je meestal na acht jaar aan een nieuw OS en blijf je scannen en scannen en scannen.
28-06-2017, 20:38 door Anoniem
Door Anoniem: Telkens wordt geroepen dat dit elk besturingssysteem/office kan overkomen. Theoretisch klopt dat. Praktisch zijn bedrijven/organisaties jaarlijks wereldwijd TIENTALLEN MILJARDEN kwijt aan specifiek door MS ontwikkelde producten.
En tot nog toe 0,0 aan bv Linux/LibreOffice.
When will they learn!
Mijn baas let op de kleintjes en bij mijn weten doen alle bazen dat. Kennelijk is dat goedkoper dan werken met software die op Linux draait.
28-06-2017, 20:42 door Anoniem
Door Anoniem:Kortom, een goede tijd om geld te investeren in Microsoft. En koop zoveel aandelen je kan. Er is behoorlijk veel dividend.
Branden er een partijtje aandelen in je broek? ;-)
28-06-2017, 21:04 door karma4
[Verwijderd door moderator]
29-06-2017, 00:28 door [Account Verwijderd] - Bijgewerkt: 29-06-2017, 08:30
[Verwijderd]
29-06-2017, 06:47 door karma4
[Verwijderd door moderator]
29-06-2017, 08:06 door [Account Verwijderd] - Bijgewerkt: 29-06-2017, 08:10
[Verwijderd]
29-06-2017, 21:58 door karma4 - Bijgewerkt: 29-06-2017, 22:33
Door Neb Poorten:
Door karma4: Dus je laat een externe leverancier net autoupdate op local system admin rechten aan de slag gaan.

Dat is zoals je had kunnen lezen alleen het geval bij een klein aantal besmettingen.
Zoals je inmiddels hebt kunnen volgen het was juist de bron in dit geval. Verwacht er meer omdat het het zeer lucratief is. De hack bij micros van Oracle lijkt er op.

Door karma4: Waarom is daarvoor niet een apart User account met zeer beperkte rechten voor ingezet?

Omdat dat onder Microsoft Windows zo goed als onmogelijk is (updates aan geïnstalleerde software met beperkte privileges). Ken je je eigen besturingssysteem niet karma4?
Het gangbare persoonlijk aanvallen wat tegen de huisregels is. Het is niet mijn os ik heb last van gebrek aan informatieveiligheid in jouw os door beheerders architecten etc.
Inhoudelijk staat het antwoord bij de volgende reactie.huiselijk
Door karma4: Met dat soort werkwijzes kan je roepen over least privileges principes maar kennelijk heeft het gemak en snelle (goedkope) resultaat meer prio. Dat is os onafhankelijk.

Niet OS onafhankelijk want andere besturingssystemen zitten doordachter in elkaar waardoor dit soort problemen geen probleem blijken te zijn.
Een ontwerpprincipe is os onafhankelijk. Ik ben nog geen is tegen gekomen waar het niet mogelijk is.
Wel is er gewoonlijk een standaard machtig algemeen account waarmee iemand die niet thuis in het systeem de Setup enter enter of rpm yum of ander tool als script van een leverancier kan uitvoeren.

Wat is er onmogelijk om met cron de boel met aparte service accounts vanuit root met een superieure zonder password te starten. Het is standaard functionaliteit.

Microsoft heeft de werkwijz8e rond service accounts netjes gedocumenteerd. https://technet.microsoft.com/en-us/library/dn617203(v=ws.11).aspx. Het zal ook bij ibm te vinden zijn. Een machine met vele processen en eis tot scheiding heet mainframe.

Alle problematiek zijn praktijkervaring dat is het meest trieste.
De genoemde oplossingsrichtingen zij eveneens gerealiseerd en hebben gewerkt. Grootste issue: de externe leverancier is/was het er niet mee eens hun script en hun installatie was aangepast.

Je kunt van de keniis en ervaring gratis en voor niets gebruik maken. Zo niet dan zullen die problemen blijven doorgaan. De keus mag je zelf maken.
30-06-2017, 08:47 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.