Ransomware gebruikt Wake-on-Lan om uitgezette pc's te versleutelen
De beruchte Ryuk-ransomware maakt gebruik van Wake-on-Lan (WoL) om uitgeschakelde computers aan te zetten zodat die vervolgens zijn te versleutelen. Wake-on-Lan is een standaard waarmee uitgeschakelde computers door het versturen van een "magic packet" zijn in te schakelen. De machine in kwestie moet WoL wel ondersteunen en ook hebben ingeschakeld. De functie is vooral bedoeld voor systeembeheerders, maar wordt ook door de criminelen achter Ryuk toegepast.
Zodra Ryuk een machine besmet heeft leest het de Address Resolution Protocol (ARP) cache van de computer uit. In de ARP-cache staan ip-adressen van computers in het netwerk. Ryuk stuurt vervolgens naar alle adressen het magic packet. Zodra de machine is ingeschakeld probeert Ryuk de administrative share te mounten. Wanneer dit lukt versleutelt Ryuk bestanden op de betreffende computer.
De WoL-feature van de Ryuk-ransomware werd afgelopen november door securitybedrijf Crowdstrike beschreven. Volgens onderzoeker Kurt Baumgartner van antivirusbedrijf Kaspersky is de functie er al sinds september 2019. Ook de nieuwste versie van Ryuk maakt gebruik van Wake-on-Lan. Volgens Crowdstrike probeert de ransomware met deze feature het aantal te versleutelen machines te maximaliseren.
"Dit is hoe de groep het netwerkbrede ransomwaremodel heeft aangepast om meer machines via een enkele infectie te raken en de machines via WoL en ARP te bereiken", laat beveiligingsonderzoeker Vitali Kremez tegenover Bleeping Computer weten. "Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen."
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....
TheYOSH
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....
TheYOSH
"Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen."
TheYOSH
Zo gek is dat toch niet? Het gemiddelde huishouden heeft flink wat spullen in z'n netwerk hangen, van slimme lampen, tot deurbellen, digitale videorecorders en smart-TVs, netwerk camera's en printers. Ze moeten al patchen als een sysadmin, backups maken, bestand zijn tegen social engineering door onze 'vrienden' uit India.
Dan kan dit er ook nog wel bij...
Wie heeft er overigens nog een pc thuis? En een pc waarbij WOL het doet?
TheSquare
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....
TheYOSH
Ja, dat worden ook wel private vlan's genoemd en zijn een ontzettend goed idee! (Ook voor thuis)
@TheSquare: ik heb nog een desktop pc thuis die met Linux nog lang mee kan. WoL staat uitgeschakeld in de BIOS.
Weet je wel heel zeker dat het WoL door die ene BIOS setting daadwerkelijk is uitgeschakeld?
1. Schakel het WoL even in, en kijk of het WoL gewoon werkt.
2. Schakel het WoL weer uit, en test of het ook echt uit is... ;-)
Niet verbaast zijn dat je PC desondanks gewoon weer opstart...
Weet je wel heel zeker dat het WoL door die ene BIOS setting daadwerkelijk is uitgeschakeld?
1. Schakel het WoL even in, en kijk of het WoL gewoon werkt.
2. Schakel het WoL weer uit, en test of het ook echt uit is... ;-)
Niet verbaast zijn dat je PC desondanks gewoon weer opstart...
Geen idee hoe ik dat ik een simpel thuis netwerk zou moeten realiseren met een consumenten/provider router. Volgens mij is die optie er niet standaard.
Stuur met Etherwake vanaf een Raspberry Pi, die je aan je eigen LAN router koppelt, magic Wake-on-LAN packets naar alleen de eigen apparaten binnen je eigen LAN. Mochten jouw slapende computers of printer plots vanuit het niets opstarten, dan heb je mogelijk een probleem. Aangenomen dat je overtuigd was dat het WoL in de BIOS opties uit stond.
Het verbaast me trouwens dat Wol redelijk laat door Malware wordt gebruikt.
Standaard in een fatsoenlijke enterprise omgeving. Bij voorkeur communicatie tussen segmenten ook door een firewall laten lopen.
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....
TheYOSH
't Is zo simpel:
- wasmachine niet aan het netwerk (domme wasmachine: mag alleen wassen)
- koelkast niet aan het netwerk (domme koelkast: mag alleen koelen)
- deurbel niet aan het netwerk (domme deurbel; niks camera's ofzo... gedoe)
- TV niet aan het netwerk (domme TV: alleen beelden laten zien)
Als je nou eens een *goede* oplossing neerzet in plaats van wat populistisch gelul.
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....
TheYOSH
1 voorbeeld is misschien relevant.de tv.
Koelkast hoeft niet open als ik niet thuis ben. De deur ook niet. En een wasmachine zou ik ook niet weten waarom. Kan die van mij met een paar simpele knoppen instellen dat die klaar is op het moment dat ik thuiskom met een ingebouwde timer. Dan kan ik alles gelijk ophangen, of doet die slimme wasmachine dat dan ook ?
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....
TheYOSH
1 voorbeeld is misschien relevant.de tv.
Koelkast hoeft niet open als ik niet thuis ben. De deur ook niet. En een wasmachine zou ik ook niet weten waarom. Kan die van mij met een paar simpele knoppen instellen dat die klaar is op het moment dat ik thuiskom met een ingebouwde timer. Dan kan ik alles gelijk ophangen, of doet die slimme wasmachine dat dan ook ?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security analist
De Universiteit Utrecht is op zoek naar een Security Analist. Je bent verantwoordelijk voor het uitvoeren van analyses met de tools van het security- operationsteam van de universiteit. Je werkt met Splunk Enterprise, voor securitymonitoring. En met InsightVM, voor netwerkscanning. Ook komt er nog een nieuwe tool, voor applicatiescanning. Je werkt bij de afdeling Identity & Security Services (ISS).
