image

Microsoft: Oekraïense organisaties doelwit van malware die systemen saboteert

maandag 17 januari 2022, 09:44 door Redactie, 20 reacties

Meerdere Oekraïense organisaties en overheidsinstanties zijn doelwit van malware geworden die zich voordoet als ransomware, maar in werkelijkheid bestanden en de Master Boot Record (MBR) van systemen overschrijft waardoor de computers niet meer opstarten, zo stelt Microsoft op basis van eigen onderzoek. Volgens het techbedrijf is het doel van de aanvallers dan ook sabotage in plaats van het verkrijgen van losgeld.

De eerste aanvallen met de malware werden op 13 januari waargenomen. Hoe de malware wordt verspreid laat Microsoft niet weten. Eenmaal actief overschrijft de malware de MBR en laat een zogenaamde losgeldboodschap zien. Daarin wordt gesteld dat het slachtoffer losgeld moet betalen om zijn systeem te herstellen. Er ontbreekt echter een herstelmechanisme, waardoor het niet mogelijk is om de MBR te herstellen, ook al wordt het losgeld betaald.

De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Nadat de MBR is overschreven wordt er aanvullende malware gedownload die allerlei bestanden overschrijft waardoor die onbruikbaar worden. Microsoft heeft op tientallen systemen de malware aangetroffen, maar vermoedt dat het werkelijke aantal slachtoffers hoger ligt.

"Gegeven de schaal van de waargenomen aanvallen kan Microsoft de bedoeling van de destructieve acties niet bepalen, maar denkt dat die een verhoogd risico voor alle overheidsinstanties, non-profitorganisaties en bedrijven met systemen in Oekraïne vormen", aldus Microsoft. Dat roept organisaties op om meteen een onderzoek binnen hun eigen omgeving uit te voeren en verdedigingsmaatregelen toe te passen, waaronder het inschakelen van multifactorauthenticatie.

Reacties (20)
17-01-2022, 10:07 door Anoniem
Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.
17-01-2022, 10:43 door Anoniem
Geen enkel bewijs. Wat dacht je van de 100000 soldaten die aan de grens staan? Rusland heeft een doel en dat is het de-stabiliseren van de Oekraine. Daar heeft Amerika niks mee te maken. Die zijn alleen maar bezig met China.
17-01-2022, 11:01 door Anoniem
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.

Ik zal wel heel slecht lezen maar is zie op deze hele pagina alleen in jouw comment "Rusland" staan.
17-01-2022, 11:21 door [Account Verwijderd] - Bijgewerkt: 17-01-2022, 11:22
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.

En waar staat dat Rusland erachter zou zitten? Redactie schrijft dit niet in het artikel en Microsoft ook niet in hun artikelen waaraan redactie refereert. Idem over Amerika die spanningen zou veroorzaken. Dus waar haal je het vandaan?
17-01-2022, 11:23 door Anoniem
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.

Geen idee waar deze post over gaat. Russische fanboy-trol?
Het rapport van Microsoft noemt geen land en in de nederlandse media is alleen gemeld dat de Oekraiense overheid *zegt* bewijs te hebben dat Rusland achter de aanval zit. Niet meer, niet minder.
17-01-2022, 11:56 door Anoniem
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?
17-01-2022, 12:14 door Anoniem
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?

Dat heet telemetrie.
17-01-2022, 12:16 door Anoniem
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?

Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?
17-01-2022, 12:49 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?

Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?

Bijvoorbeeld bij Microsoft zelf:

https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb
17-01-2022, 14:00 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?

Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?

Bijvoorbeeld bij Microsoft zelf:

https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb

Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
17-01-2022, 17:29 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?

Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?

Bijvoorbeeld bij Microsoft zelf:

https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb

Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Hoe heeft MS dan de malware aangetroffen zoals men zegt?
17-01-2022, 18:02 door Anoniem
Door Anoniem:
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
18-01-2022, 00:03 door Anoniem
Door Anoniem:
Door Anoniem:
Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.
Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Die gaan dat echt niet naar Microsoft sturen. Daarnaast worden die netwerken niet naar het internet gerouteerd.
18-01-2022, 08:16 door Anoniem
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?

Dat is de enige vraag die ertoe doet. Microsoft zou zich bezig moeten houden met het VERBETEREN [1] van hun eigen zooi, ze zijn volgens mij niet bevoegd om zich bezig te gaan houden met opsporing.


[1] Met verbeteren van software bedoel ik natuurlijk niet het continue vertragen van hun software, maar zo iets als Windows XP in de lucht kunnen laten houden zonder dat je om de 5 minuten gehacked wordt.
18-01-2022, 09:44 door Anoniem
Door Anoniem:Hoe heeft MS dan de malware aangetroffen zoals men zegt?

Geen idee, dat is het hem juist. Als we het niet weten, dan moeten we geen conclusies trekken hoe die kennis bij Microsoft is gekomen. Misschien is hun hulp ingeroepen nadat machines niet meer op kwamen, misschien hebben ze van een reseller de hardware toegestuurd gekregen en hebben ze daar malware op gevonden die overeenkwam met malware die ze zelf al hebben geanalyseerd als onderdeel van hun threat werkzaamheden (waar binnen Microsoft heel veel tijd en geld om gaat), misschien .... We weten het niet, dus het is nutteloos om meteen de conclusie te trekken "moet wel telemetrie zijn".
18-01-2022, 09:51 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Door Anoniem:
Microsoft heeft op tientallen systemen de malware aangetroffen
Hoezo zit MS te snuffelen op andermans computer?

Misschien is de hulp vam Microsoft ingeschakeld nadat de Windows machines niet meer op kwamen. Wie zegt dat ze aan het snuffelen zijn? Waar haal je dat vandaan?

Bijvoorbeeld bij Microsoft zelf:

https://answers.microsoft.com/en-us/insider/forum/all/how-to-block-spying-telemetry-services/0f104191-c329-4bd4-83d7-60390f2aa5eb

Die link gaat over user telemetry, niet over beschadigde MBR's waardoor computers niet meer opstarten. Als die computer niet meer opstart, dan valt er weinig te versturen. Niet alles waar Microsoft over publiceert is gevoed door of heeft te maken met telemetrie.

Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.
18-01-2022, 10:30 door Anoniem
Door Anoniem:
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.

Is dat zo joh? Ik heb al heel wat problemen met Microsoft systemen onder handen gehad maar ik heb nog nooit
de stap genomen om bij Microsoft aan te kloppen. Ik heb ook altijd begrepen dat dit geen zin heeft omdat je support
moet krijgen van je LEVERANCIER (c.q. de fabrikant) niet van Microsoft. En ik verwacht ook niet veel van een belletje
naar een eerstelijns helpdesk in India.

Ook zou je niet zeggen dat men "bakken met software en security kennis in huis heeft" als je ziet wat ze releasen...
maar dat is makkelijk praten natuurlijk.
18-01-2022, 10:33 door Anoniem
Door Anoniem:
Door Anoniem:
Er zijn tegenwoordig steeds meer omgevingen waarbij dat WEL zou kunnen!
out-of-band management systemen zoals Intel ME, AMD PSP en server management systemen zoals iDRAC en ILO zouden dit soort "boot failure" berichten kunnen sturen.
Die gaan dat echt niet naar Microsoft sturen. Daarnaast worden die netwerken niet naar het internet gerouteerd.
In een goed netwerk niet, nee, maar ik zou ze niet de kost willen geven waar het management netwerk gewoon via NAT
naar internet gerouteerd staat omdat dit zo handig is bij software updates enzo. Op het werk moet ik eerst een ethernet
kabel over steken voor de "Dell lifecycle controller" werkt, maar dat zal niet iedereen handig vinden.

En die genoemde technologieen (met name die eerste 2) zijn voldoende complex om me niet het veilige gevoel te
geven wat jij er kennelijk bij hebt.
19-01-2022, 00:06 door Anoniem
Door Anoniem:
Door Anoniem:
Als een Windows computer kuren heeft, dan wordt er al snel bij Microsoft aangeklopt om even mee te kijken wat het probleem is. Het voordeel is dat Microsoft bakken met software en security kennis in huis heeft en dus zelfstandig al een heel eind komt om zulke problemen tot in de wortel uit te zoeken.

Is dat zo joh? Ik heb al heel wat problemen met Microsoft systemen onder handen gehad maar ik heb nog nooit
de stap genomen om bij Microsoft aan te kloppen. Ik heb ook altijd begrepen dat dit geen zin heeft omdat je support
moet krijgen van je LEVERANCIER (c.q. de fabrikant) niet van Microsoft. En ik verwacht ook niet veel van een belletje
naar een eerstelijns helpdesk in India.

Ook zou je niet zeggen dat men "bakken met software en security kennis in huis heeft" als je ziet wat ze releasen...
maar dat is makkelijk praten natuurlijk.
Ik precies hetzelfde. Je wordt doorverwezen naar de leverancier. Het enige belletje dat ik in die 30 jaar heb gehad is dat we niet in compliance waren volgens ms en wilden een sniffer in he te netwerk plaatsen.
28-02-2022, 13:28 door Anoniem
Door Anoniem: Geen enkel bewijs dat Rusland er achter zit en toch gelijk het land beschuldigen? Wat een slechte media heeft Nederland die geen objectieve nieuws geven? Amerika zorgt voor de spanningen daar.
Als u zegt dat er geen enkel bewijs is, dan wil ik ook graag eens uw bewijs zien dat ze er niet achter zitten.
Post het hier even op dit forum.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.