Gijzelsoftware

[Dexist]

Het is weer volop in het nieuws, de zogeheten gijzelsoftware.

 

 

Citaat

 

Over de hele wereld zijn meldingen gedaan van grootschalige zogenoemde ransomware-aanvallen zoals vanmiddag in Groot-Brittannië. De Britse premier May zegt dat de aanval op de Britse ziekenhuizen onderdeel is van een nog grotere internationale cyberaanval. Volgens May zijn er waarschijnlijk geen patiëntgegevens buitgemaakt bij de aanval.

De BBC meldt dat er ook in de VS, China, Rusland, Spanje, Italië, Vietnam en Taiwan dergelijke cyberaanvallen zijn uitgevoerd, waarbij computersystemen gegijzeld worden. Volgens onderzoekers houden de aanvallen verband met elkaar. Bron

 

 

En vandaag lagen ook een aantal parkeergaragesystemen er uit in Nederland. (je mocht wel gratis er uit :P) 

 

Bij gijzelsoftware installeren criminelen een programma op je computer die al je gegevens versleuteld. Pas wanneer je een bepaalde soms geld naar de criminelen hebt overgemaakt wordt de versleuteling, althans dat beweert de crimineel, er weer afgehaald. Gister lagen hierdoor dus een aantal ziekenhuizen en ander instanties plat over de gehele wereld. Het plaatje hieronder geeft weer waar over de wereld geïnfecteerde computers zich bevinden. 

 

Bron

 

Wat doen jullie er  tegen om niet in zulke vallen te lopen, mocht je er intrappen kan het een duur grapje worden. Welk maatregelen nemen jullie voor veilig gebruik van internet? 

[Big Boss]

Als je even wat meer research dan kom je erachter dat de computers van die ziekenhuizen nog allemaal op Windows XP draaien. Dat systeem is end-of-life en krijgt al sinds 2014 geen enkele update meer. Ja, upgraden kost tijd en geld maar ik denk dat je na 15 jaar met hetzelfde systeem toch wel eens een update mag overwegen.

 

Ik heb hier nog een interessant artikel van een techneut die de aanval van vrijdag bijna eigenhandig gestopt heeft door simpelweg een domein te registreren. Het komt erop neer dat de ransomware niet actief wordt als een bepaald domein online is. Misschien ingebouwd als kill-switch maar waarschijnlijk met de bedoeling om computeranalisten om de tuin te leiden aangezien zij gebruik maken van virtuele omgevingen. Deze virtuele omgevingen zijn afgesloten van het internet maar simuleren wel een verbinding en het laat de malware denken dat het op internet kan. Met andere woorden, als de malware die bepaalde website kan bereiken dan denkt die dat die in een virtuele omgeving draait. De malware schakelt zichzelf dan uit om de analisten te misleiden. Door het domein te registreren op het "echte" internet denkt de malware overal ter wereld dat het in een virtuele omgeving draait en dus schakelt het zichzelf uit.

 

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

[MegaPilot]

8 minuten geleden, Big Boss zei:

Als je even wat meer research dan kom je erachter dat de computers van die ziekenhuizen nog allemaal op Windows XP draaien.

Krijg het plotseling heel moeilijk om medelijden op te brengen...Serieus, met XP vraag je er gewoon om.

[Phoenyxar]

Op zich wel een aanval die toont dat er toch enig belang is aan het (redelijk recent) updaten van enerzijds persoonlijke en anderzijds publieke systemen.

Citaat

The Windows vulnerability is not a zero-day flaw, but one for which Microsoft had made available a security patch on 14 March 2017,^[20] nearly two months before the attack. The patch was to the Server Message Block (SMB) protocol used by Windows.^[38][39] Organizations that lacked this security patch were affected for this reason, although there is so far no evidence that any were specifically targeted by the ransomware developers.^[38] Any organization still running the older Windows XP^[40] were at particularly high risk because until 13 May,^[3] no security patches had been released since April 2014.^[41] Following the attack, Microsoft released a security patch for Windows XP.^[3]

~WannaCry cyber attack, Wikipedia

 

Er zijn véél bedrijven die nog een iteratie van XP draaien. "Updaten kost geld, het kost tijd..." Ergens zeer gekende redeneringen die je ergens kunt begrijpen, maar toch...

[Dexist]

Wow, inderdaad  

 

Deze zit dan weer niet op XP

 

 

En vergeet niet de mensen die op alle linkjes klikken:

 

"Volgens Rick Gevers, specialist op het gebied van internetbeveiliging, is de ransomware verspreid via e-mails met een bijlage. "Als één medewerker op zo'n link klikt, installeert het programma zich automatisch. En als één computer wordt geïnfecteerd, neemt het automatisch andere pc's over op dat netwerk." Zo kunnen in één klap alle computers in een bedrijf worden uitgeschakeld."

 

[Phoenyxar]

Wat eigenlijk mijn grote vraag bij deze aanval is: hoe kan het zijn dat sommige van die bedrijven getroffen zijn? Horen de computers/servers van een ziekenhuis/spoorbedrijf niet op een gesloten netwerk te lopen? (Uiteraard heb je ook computers met verbindingen naar buitenaf, maar het ticketapparaat hierboven bijvoorbeeld: Hoe is dat geïnfecteerd geraakt? Op zich is dat nog onschuldig, maar een ziekenhuisserver is toch al wat serieuzer.)

[Big Boss]

De worm verspreidt zich via SMB. Met andere woorden: netwerkschijven.

[Cabyon]

Hoe weet ik of mijn PC tegen de ransomware beveiligd is?

[Dexist]

Je systeem up-to-date houden. Geen verouderd OS gebruiken. Goede virus en malware scanner hebben. En die regelmatig laten scannen.