Een kwetsbaarheid in Windows waarvoor op 14 mei een beveiligingsupdate verscheen is niet gebruikt om de Dopplepaymer-ransomware te verspreiden, zo heeft Microsoft laten weten in een reactie op geruchten die rondgingen op Twitter. Begin november raakte de Spaanse it-dienstverlener Everis besmet met de Dopplepaymer-ransomware.

Op Twitter gingen vervolgens geruchten rond dat aanvallers het BlueKeep-lek en Microsoft Teams hadden gebruikt om de ransomware te verspreiden. Beveiligingsonderzoeker Kevin Beaumont ontkrachtte deze geruchten al op 5 november. Microsoft zag zich gisteren genoodzaakt om zelf met een verklaring te komen waarin het de geruchten ontkracht. Volgens de softwaregigant maakten de aanvallers gebruik van bestaande domeinbeheerderwachtwoorden om zich binnen het bedrijfsnetwerk te bewegen en machines te infecteren.

Infecties door ransomware vinden vaak plaats via social engineering, gaat Microsoft verder. Werknemers worden verleid om besmette websites te bezoeken of besmette documenten of andere e-mailbijlagen te openen. Om te voorkomen dat aanvallers beveiligingstools uitschakelen en data weten te versleutelen is het essentieel dat systeembeheerders goed wachtwoordbeleid handhaven, met verminderde rechten werken en netwerksegmentatie toepassen, aldus het advies van het techbedrijf.

Het BlueKeep-lek is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. Onlangs werd bekend dat aanvallers de kwetsbaarheid gebruiken om computers met een cryptominer te infecteren.