De gisteren gestarte wereldwijde gijzelsoftwareaanval is volgens Europol de grootste in omvang ooit. De Cybercrime Taskforce van de Europese politieorganisatie neemt deel aan een grootschalig internationaal onderzoek naar de daders. Onder meer Britse ziekenhuizen ondervonden veel last, maar ook grote ondernemingen zoals Deutsche Bahn, Renault en Telefónica. Nederland lijkt vooralsnog de dans te ontspringen.
Europol, waarvan het hoofdkantoor in Den Haag staat, houdt in samenwerking met de Nederlandse politie en een aantal ict-bedrijven een website in de lucht waar tips over het voorkomen en omgaan met gijzelsoftware staan: www.nomoreransom.org.
Het National Cybersecuritycenter (NCSC) stelt dat er nog geen meldingen bekend zijn die duiden op een toename van besmettingen met ransomware in Nederland. Een onderzoeker van MalwareTechblog heeft een zogeheten kill-switch in de ransomware gevonden en het domein hiervoor geregistreerd. Als de ransomware verbinding kan maken met dit domein stopt de infectie en verspreiding, aldus NCSC.
Wannacry
Microsoft heeft, meldt NCSC, bevestigd dat de ransomware voor verspreiding gebruik maakt van MS17-010 en heeft patches beschikbaar gesteld, ook voor niet-ondersteunde versies van Windows. Het NCSC adviseert om patches voor deze kwetsbaarheid zo snel mogelijk te installeren.
Kaspersky rapporteert dat het 45.000 aanvallen in 74 verschillende landen heeft gezien, met name in Rusland. Nederland komt niet in de top twintig voor. Volgens externe analyses gaat het om een variant van de Wannacry-ransomware. Ransomware-verspreiding gebeurt vaak via campagnes. De huidige campagne van Wannacry lijkt veel groter te zijn dan alle eerder geobserveerde campagnes, aldus NCSC.
Volgens de eerste analyses komt de ransomware initieel via e-mail binnen. Vervolgens verspreidt deze zich via een SMB-kwetsbaarheid op het interne netwerk als een worm. Deze verspreidingsvorm zorgt ervoor dat de ransomware in vrij korte tijd binnen een bedrijf veel systemen infecteert.
MS vindt het misbruik van het Server Message Block protocol blijkbaar zeer ernstig. Ze maken zelfs patches voor Windows XP, Vista, 8 en 2003.
Wat opvalt is dat de beveiligingsupdate voor XP SP3 van 13-5-2017 dateert, maar die voor Vista SP2 al van 12-3-2017 (handtekening is zelfs van zaterdag 11 februari 2017 23:59:40). MS heeft deze aanval dus allang verwacht.
heb al die zooi uit staan van ms
En ook de open poorten dicht
En veel Linux Inplaats van Windows.
Veel plezier met het oplappen
Van de problemen…
Had men daar al niet idd veel en veel
Eerder wat aan kunnen doen ?
En whatabout uefi ?
8o remote vulnerabilities volgens onderzoek en toen maar opgehouden met tellen ???
Wordt dat de volgende Achilles hiel ???
Suc6
En what about een bios flash protect jumper ???
Zat erin is eruit en na dit gezeur
Ben ik bang dat we nog lang niet
Van de problemen af zijn ???
Betaalt Intel of amd en uncle Sam
Straks het reflashen van mij bios
En het insolderen van een flash
Protect jumper e.d.
Of gaan we door met de ogen dicht
Op de afgrond af ???
Suc6
Im bouw alvast mijn eigen intranet
Voordat ik via het internet nog erger
Dan nu geïnternept word…
Dit was nog peanuts !!!!
Alleen oude systemen en een klein
Beetje schade !!!!
Als het tegen zit worden straks de problemen alleen maar erger…
Nobuds ???
They But Out of there problems
None bud us ???
What if the local hacker club starts
Using nobuds as we seen today ???
Nice every computer it’s own bios leaks
Will that be the next level of problems ?
So today can be seen as a start
Of a new era,
And of course Uncle Sam is not to blame
But once this general rehearsal is over
Can we please start fixing things
And prevent the use of a bad bios
Virus like attacks that we cannot
Even shield from from within our own
Operating systems ???
This attack of today was peanuts compared to what could have happened…
Why oh why does none fix these things
Why oh why wait for the worst to happen
Or did we learn our lesson today ???
Oh and besides if Uncle Sam does not
Pay for this fix maybe the computer
Company’s that have an obligation towards the hospitals and many
People that do actually need computers
For very important things like
Hospitals nuclear facility’s
And maybe the military to do need
To know in advance about this instead
Of later on…
We do not want to have these problems
Again with maybe vital systems
What if a not bevriended nations
Systems go haywire and cause disaster on us all
Do we really need any more problems
Than these In The future ???
I hope someone with brains will
Be available to fix some of these problems…
And no this is no hoaxes
And bad bios is neither a hoax..
Just a very concerned person who
Really hopes for the best…
Good luck…
@Jaap
Wat opvalt is dat de patches voor alle supported platforms in de patch update van Maart van dit jaar beschikbaar waren en dat er desondanks honderd duizenden machines wereldwijd besmet zijn geraakt.
Dan vraag ik me twee dingen af:
Hoe zit het dan met de update policies binnen bedrijven? Schijnbaar zijn er nog steeds organisaties die dat niet op orde hebben, terwijl we keer op keer zien dat het belangrijk is om niet te lang te wachten met het installeren van updates. Twee maanden lijkt me een rijkelijk lange periode.
Hoe zit het dan met zaken als netwerk segmentatie, egress filtering en dergelijke. Als dit een SMB-lek is, dan zijn er schijnbaar machines die SMB v1 open hebben staan naar de wereld toe. Is dat echt nodig? Werkt bepaalde functionaliteit anders niet?
@Rob D, een terechte opmerking.
Beheer vanuit een conservatieve beheervisie is alle opties uit, poorten dicht, snel (maar gecontroleerd) patchen, tenzij het anders moet. Steeds meer bedrijven en instellingen gaan uit van vrijheid en maximale flexibiliteit. Dus opties aan, poorten open, patchen kan wel later een keer, tenzij we daardoor direct problemen krijgen. En dan zal het eerder goed mis gaan. In dit geval hoeft maar een gebruiker op een verkeerde link te klikken en allerlei Windows machines van het eigen netwerk kunnen daarna ook worden besmet, eventueel ook een Wine omgeving op Linux.
SMB staat volgens mij standaard aan na de installatie van het OS en zou ook wel eens automatisch na de installatie van een printer aangezet kunnen worden. SMB toestaan voor internet is natuurlijk risicovol.
Cisco adviseert o.a.:
Ensure all Windows-based systems are fully patched. At a very minimum, ensure Microsoft bulletin MS17-010 has been applied.
In accordance with known best practices, any organization who has SMB publically accessible via the internet (ports 139, 445) should immediately block inbound traffic.
Additionally, organizations should strongly consider blocking connections to TOR nodes and TOR traffic on network.
Wat te denken van het huidige byod-systeem?
Kan je iemand (het personeel) verplichten om alles zo te configureren dat het optimaal beveiligd is?
Of kan je personeel, dat aantoonbaar de veiligheidsregels overschrijdt laten opdraaien voor de kosten?
Er zal nog veel water naar de zee stromen, voordat e.e.a. waterdicht geregeld is.