Nieuws

Ransomware gebruikt Wake-on-Lan om uitgezette pc's te versleutelen

dinsdag 14 januari 2020, 15:03 door Redactie, 19 reacties

Laatst bijgewerkt: 14-01-2020, 15:28

De beruchte Ryuk-ransomware maakt gebruik van Wake-on-Lan (WoL) om uitgeschakelde computers aan te zetten zodat die vervolgens zijn te versleutelen. Wake-on-Lan is een standaard waarmee uitgeschakelde computers door het versturen van een "magic packet" zijn in te schakelen. De machine in kwestie moet WoL wel ondersteunen en ook hebben ingeschakeld. De functie is vooral bedoeld voor systeembeheerders, maar wordt ook door de criminelen achter Ryuk toegepast.

Zodra Ryuk een machine besmet heeft leest het de Address Resolution Protocol (ARP) cache van de computer uit. In de ARP-cache staan ip-adressen van computers in het netwerk. Ryuk stuurt vervolgens naar alle adressen het magic packet. Zodra de machine is ingeschakeld probeert Ryuk de administrative share te mounten. Wanneer dit lukt versleutelt Ryuk bestanden op de betreffende computer.

De WoL-feature van de Ryuk-ransomware werd afgelopen november door securitybedrijf Crowdstrike beschreven. Volgens onderzoeker Kurt Baumgartner van antivirusbedrijf Kaspersky is de functie er al sinds september 2019. Ook de nieuwste versie van Ryuk maakt gebruik van Wake-on-Lan. Volgens Crowdstrike probeert de ransomware met deze feature het aantal te versleutelen machines te maximaliseren.

"Dit is hoe de groep het netwerkbrede ransomwaremodel heeft aangepast om meer machines via een enkele infectie te raken en de machines via WoL en ARP te bereiken", laat beveiligingsonderzoeker Vitali Kremez tegenover Bleeping Computer weten. "Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen."

"Nog tweehonderd miljoen computers draaien op Windows 7"

Oracle patcht 334 kwetsbaarheden in groot aantal producten

Reacties (19)

14-01-2020, 15:11 door Anoniem

Wake-on-Lan (WoL) Uitzetten in het bios/EFI). UEFI

14-01-2020, 15:37 door MathFox

Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

14-01-2020, 15:53 door Anoniem

Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

Ja,
een VLAN voor de wasmachine,
een VLAN voor de koelkast,
een VLAN voor de deurbel,
een VLAN voor de TV,

etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

14-01-2020, 16:00 door karma4

Door Anoniem:…..
etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

Uit het artikel:
"Het zorgt voor een groter bereik en demonstreert hun ervaring in het omgaan met grote bedrijfsomgevingen."

14-01-2020, 16:14 door Anoniem

Door Anoniem: Wake-on-Lan (WoL) Uitzetten in het bios/EFI). UEFI

Precies. Of misschien is er een jumper voor aanwezig.

14-01-2020, 16:23 door Anoniem

etc.. het is toch van de gekke dat je je eigen huis als een datacenter moet gaan inrichten....

TheYOSH

Zo gek is dat toch niet? Het gemiddelde huishouden heeft flink wat spullen in z'n netwerk hangen, van slimme lampen, tot deurbellen, digitale videorecorders en smart-TVs, netwerk camera's en printers. Ze moeten al patchen als een sysadmin, backups maken, bestand zijn tegen social engineering door onze 'vrienden' uit India.

Dan kan dit er ook nog wel bij...

Wie heeft er overigens nog een pc thuis? En een pc waarbij WOL het doet?

TheSquare

14-01-2020, 16:49 door Anoniem

Door Anoniem:

Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

Ja, dat worden ook wel private vlan's genoemd en zijn een ontzettend goed idee! (Ook voor thuis)

14-01-2020, 17:40 door linux4

Of je hangt de wasmachine, koelkast etc. niet aan het internet. Mijn wasmachine en koelkast kunnen dat niet eens maar ze functioneren al vele jaren probleemloos. Wake-on-LAN voor thuis is zelden nodig behalve b.v. een NAS.

@TheSquare: ik heb nog een desktop pc thuis die met Linux nog lang mee kan. WoL staat uitgeschakeld in de BIOS.

14-01-2020, 18:03 door Anoniem

Door linux4: @TheSquare: ik heb nog een desktop pc thuis die met Linux nog lang mee kan. WoL staat uitgeschakeld in de BIOS.

Weet je wel heel zeker dat het WoL door die ene BIOS setting daadwerkelijk is uitgeschakeld?

1. Schakel het WoL even in, en kijk of het WoL gewoon werkt.
2. Schakel het WoL weer uit, en test of het ook echt uit is... ;-)

Niet verbaast zijn dat je PC desondanks gewoon weer opstart...

14-01-2020, 19:59 door linux4

Door Anoniem:

Door linux4: @TheSquare: ik heb nog een desktop pc thuis die met Linux nog lang mee kan. WoL staat uitgeschakeld in de BIOS.

Geen idee hoe ik dat ik een simpel thuis netwerk zou moeten realiseren met een consumenten/provider router. Volgens mij is die optie er niet standaard.

14-01-2020, 21:49 door Briolet

Leuk idee, maar als dat werkt, was de PC toch al niet goed beveiligd. Het enige wat WoL doet is het aanzetten van de PC. Als dat genoeg is, kan de ransomeware zijn werk ook doen als de PC regulier aan staat.

14-01-2020, 22:18 door Anoniem

Door linux4: Geen idee hoe ik dat ik een simpel thuis netwerk zou moeten realiseren met een consumenten / provider router. Volgens mij is die optie er niet standaard.

Stuur met Etherwake vanaf een Raspberry Pi, die je aan je eigen LAN router koppelt, magic Wake-on-LAN packets naar alleen de eigen apparaten binnen je eigen LAN. Mochten jouw slapende computers of printer plots vanuit het niets opstarten, dan heb je mogelijk een probleem. Aangenomen dat je overtuigd was dat het WoL in de BIOS opties uit stond.

14-01-2020, 23:45 door Anoniem

jullie hebben het over fysieke PC's maar hoe werkt dat met virtuele PC's

15-01-2020, 08:31 door Anoniem

Wol wordt vaak gebruikt door patch mechanismen om machines die uit staan te activeren en te updaten.

Het verbaast me trouwens dat Wol redelijk laat door Malware wordt gebruikt.

15-01-2020, 09:07 door Anoniem

Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

Standaard in een fatsoenlijke enterprise omgeving. Bij voorkeur communicatie tussen segmenten ook door een firewall laten lopen.

15-01-2020, 11:56 door Anoniem

Door Anoniem:

Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

't Is zo simpel:
- wasmachine niet aan het netwerk (domme wasmachine: mag alleen wassen)
- koelkast niet aan het netwerk (domme koelkast: mag alleen koelen)
- deurbel niet aan het netwerk (domme deurbel; niks camera's ofzo... gedoe)
- TV niet aan het netwerk (domme TV: alleen beelden laten zien)

15-01-2020, 23:17 door Anoniem

Door Anoniem: Wake-on-Lan (WoL) Uitzetten in het bios/EFI). UEFI

Ja joh, dat werkt prima bij onze 5.000 werkstations die gepland met WOL aangezet worden s'nachts en updates installeren en weer uitgaan.
Als je nou eens een *goede* oplossing neerzet in plaats van wat populistisch gelul.

16-01-2020, 00:48 door Anoniem

Door Anoniem:

Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

1 voorbeeld is misschien relevant.de tv.
Koelkast hoeft niet open als ik niet thuis ben. De deur ook niet. En een wasmachine zou ik ook niet weten waarom. Kan die van mij met een paar simpele knoppen instellen dat die klaar is op het moment dat ik thuiskom met een ingebouwde timer. Dan kan ik alles gelijk ophangen, of doet die slimme wasmachine dat dan ook ?

16-01-2020, 17:33 door Anoniem

Door Anoniem:

Door MathFox: Het is geen slecht idee om je LAN in met een interne firewall in segmenten onder te verdelen; vertraagt de verspreiding van dit soort zooi.

Wasmachines kunnen soms opeens aan de wandel gaan of water gaan lekken. Dit zijn geen apparaten om te laten draaien als je er niet bij bent.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Werk jij nog thuis?

Vacature

Security Officer

36 - 40 uur

Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.

Lees meer

Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?

13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

16 reacties

Lees meer

Advertentie

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer

SolarWinds: overzicht van een wereldwijde supply-chain-aanval

21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties

Lees meer

Security.NL Twitter

04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer

Ransomware gebruikt Wake-on-Lan om uitgezette pc's te versleutelen

Werk jij nog thuis?

Wachtwoord Vergeten

Password Reset

Registreren