'WannaCry trof meer dan 700.000 unieke ip-adressen'

Het Amerikaanse beveiligingsbedrijf Kryptos Logic, waar onderzoeker MalwareTech werkzaam is, heeft een eigen analyse gepubliceerd van de WannaCry-malware. Daarin stelt het bedrijf dat de ransomware ongeveer 727.000 unieke ip-adressen heeft geïnfecteerd.

Door de gegevens te analyseren die het zogenaamde sinkholedomein opleverde, schat het bedrijf dat het totale aantal getroffen systemen achter de ip-adressen neerkomt op 2 tot 3 miljoen. Daarbij zou het om een conservatieve schatting gaan. Dat aantal betreft de systemen die niet door WannaCry zijn versleuteld. Het aantal systemen dat wel met versleutelde systemen te maken had, ligt volgens Kryptos Logic in de honderdduizenden. Verdere details worden niet genoemd. Het sinkhole werd ingesteld nadat onderzoeker MalwareTech een url had ontdekt waarmee WannaCry verbinding maakte en die fungeerde als een soort 'killswitch'.

Kryptos Logic blijft bij de eerdere veronderstelling van de onderzoeker dat de killswitch een poging is om analyse van de malware in een sandbox te bemoeilijken. Het bedrijf publiceert bovendien statistieken over de geografische verdeling van WannaCry-infecties. 90 landen hadden meer dan 1000 geïnfecteerde ip-adressen en in totaal ging het om 8900 steden. Veruit de meeste infecties vonden plaats in China, gevolgd door de VS en Rusland. Het gevaar van WannaCry komt volgens het bedrijf voort uit de hoge snelheid waarmee het zich aan de hand van een enkele kwetsbaarheid verspreidt, sneller dan welke spamcampagne of exploitkit dan ook.

Over de huidige staat van de ransomware zegt het bedrijf dat er nog steeds infecties plaatsvinden, zowel van niet eerder getroffen systemen als van systemen die opnieuw worden geïnfecteerd. Dat suggereert dat de systemen geen update hebben ontvangen of geen antivirussoftware gebruiken. Die moet namelijk inmiddels zijn bijgewerkt om WannaCry-infecties te voorkomen. In China vindt het grootste aantal infecties plaats; in andere landen is een stabieler patroon te zien. De conclusie is dat de malware zich nog steeds verspreidt en ongepatchte systemen vindt.

Zoals na de WannaCry-uitbraak al bleek, werd onder meer het Mirai-botnet ingezet om het sinkholedomein aan te vallen. Desondanks wisten de onderzoekers het domein in de lucht te houden, wat een groot aantal versleutelde systemen zou hebben voorkomen. Zij schrijven dat bedrijven als CloudFlare en Amazon aanboden bij te springen als dat nodig was geweest.

WannaCry-infectieschema volgens Kryptos Logic

IT-banen

Reacties (32)

catalisator 30 mei 2017 13:38

Gelukkig hebben wij in een test omgeving even dit "virus" mogen activeren.
Onze beveiliging haalde hem meteen neer, en de locker zelf kon dus niet in actie komen.

Ook windows defender zag hem, en deed wat hij moest doen.
Pas toen wij alles uit hadden staan slaagden wij er in om de machine geïnfecteerd te krijgen.
Dat zegt volgens mij wel wat over de beveiliging van deze geïnfecteerde machines en of hun gebruikers, want bij windows defender kan je succesvol op YES rammen ! en NATUURLIJK willen we een virus uitvoeren.

Bij ons antivirus pakket kregen we deze optie ook, echter op het moment dat deze het .exe uitpakt, gooit hij deze direct weg.

Gelukkig zitten wij dus aan de veilige kant, maar je weet het nooit.
Een test opstelling met een fysieke lijn naar buiten is dan wel zo prettig .

jpsch @catalisator • 30 mei 2017 13:48

Waar bestond die testomgeving dan uit? Was dat de software en definities van toen de uitbraak plaatsvond, of halen de huidige bijgewerkte systemen het er nu uit?

Akkoord moeten geven voor het runnen van het virus, was toch juist niet nodig? Nergens kunnen lezen dat er een bijlage geopend moest worden.

knokki @jpsch • 30 mei 2017 15:05

##Akkoord moeten geven voor het runnen van het virus, was toch juist niet nodig?##
Precies!

En ik heb nog wel meer aan te merken op het verhaal van catalisator. Maakt nl ook nogal wat uit of je draait met Win10 of XP etc. Tijdstip van test natuurlijk ook erg belangrijk met alle gepsuhte patches etc., maar dat wordt hierboven ook al gemeld.

jpsch @knokki • 30 mei 2017 16:11

Niets mis met testen (geeft wat zekerheid over je huidige systeem), maar zegt weinig over het voorkomen van de besmetting tijdens de uitbraak.

knokki @jpsch • 30 mei 2017 18:58

Nou ja, als testen geen doel dient, dan is het natuurlijk zonde van je tijd. En in dit geval is de verkregen zekerheid wat mij betreft een schijnzekerheid. Dus met deze test was wel iets mis....

Patriot @jpsch • 30 mei 2017 15:23

Akkoord moeten geven voor het runnen van het virus, was toch juist niet nodig? Nergens kunnen lezen dat er een bijlage geopend moest worden.

Dat was alleen als het virus het netwerk waar je op zat al had geïnfecteerd. Als je het virus kreeg door bijv. een bijlage te downloaden, dan ging het minder automatisch.

stijnvanhoof @catalisator • 30 mei 2017 13:43

En wanneer heb je deze test gedaan?
Vrijdag toen het uitbrak en nog een zero day was of maandag toen alle AV vendors al updates hadden voorzien?

Byron010 @stijnvanhoof • 30 mei 2017 13:50

De term zero-day klopt hier niet helemaal, aangezien er toen dus blijkbaar een maand geleden een patch beschikbaar was voor. Dus omdat de bug/flaw bekend is bij de fabrikant is het bij definitie geen zero-day meer. Dat het zo lang heeft geduurd tot misbruik naar boven kwam of dat de patch bekend werd is een ander verhaal.

stijnvanhoof @Byron010 • 30 mei 2017 14:20

Het verspreiden na het oorspronkelijk uitvoeren van de malware was inderdaad al een maand gepatched, maar het uitvoeren op het toestel dat de malware binnenhaalt werd door deze patch niet tegengehouden... Een klassieke crypto zonder het intern verder te verspreiden dus

dennizzz

@catalisator • 30 mei 2017 13:47

Het specifieke WannaCry-virus wordt natuurlijk al sinds een dag na de uitbraak gedetecteerd door alle virusscanners. Maar je hoeft maar een klein stukje aan te passen en de signature van de virusscanners matcht niet meer. Een goede virusscan herkent en blokkeert de specifieke SMB-exploit, of werkt via heuristiek en herkent mass-versleuteling of ander verdacht gedrag.

PolarBear @dennizzz • 30 mei 2017 14:25

Maar je hoeft maar een klein stukje aan te passen en de signature van de virusscanners matcht niet meer

Dat is ook niet perse waar, een virusscanner is tegenwoordig wel iets beter dan alleen een MD5/SHA1 hash vergelijken.

Anoniem: 857639 @catalisator • 30 mei 2017 14:05

Vergeet niet dat Windows 7 hem er nog steeds doodleuk doorlaat als je geen virusscanner hebt zoals malwarebytes ofzo.

Anoniem: 917165 @Anoniem: 857639 • 30 mei 2017 17:24

Niet als je windows defender hebt draaien. Wat een MS product is en óók bij W7 hoort. Er is geen enkele externe virusscanner nodig (op windows) om veilig te zijn voor dit virus. Ook als je windows zelf niet geupdate is.

Anoniem: 857639 @Anoniem: 917165 • 30 mei 2017 17:38

Windows 7 heeft GEEN virusscanner die deze worm herkent, daarvoor heb je security essentials nodig.

Anoniem: 917165 @Anoniem: 857639 • 30 mei 2017 17:39

... die bij Windows 7 hoort en gewoon via windows update te installeren is. Security Essentials = windows defender.

Je hebt gelijk dat die niet default meegeinstalleerd wordt. Dat wil niet zeggen dat W7 het niet heeft. Die heeft het wel, en je hebt geen externe viruscanner of anti-malware nodig op W7.

[Reactie gewijzigd door Anoniem: 917165 op 23 juli 2024 00:56]

Anoniem: 857639 @Anoniem: 917165 • 30 mei 2017 17:48

Standaard herkent Windows 7 deze virus dus niet.

Anoniem: 917165 @Anoniem: 857639 • 30 mei 2017 18:30

Dus wel. Via de windows defender.

Standaard wil niet zeggen 'de default install'. Standaard wil zeggen, dat wat je als klant kunt installeren met aanschaf van het pakket alleen, zonder externe zaken aan te schaffen/downloaden.

Vergelijk het met de server versies, je kunt zeggen dat Windows standaard geen webserver heeft. Dat heeft ie wel, IIS, maar dat moet je separaat installeren. Maar wordt wel degelijk gewoon standaard meegeleverd.

Zo is het ook met defender.

Iced Maggot 30 mei 2017 14:15

Volgende keer een worm met een niet gepatchte zero day. Dat gaat wat geven ...

Whazaer 30 mei 2017 16:47

Wat is jullie advies voor een huis-tuin-keuken pc?

Uiteraard gezond verstand (als je de mail niet vertrouwd, gooi hem dan weg), systeem up-to-date houden (automatische updates), en antivirus (MSE?) en anti-malware (Hitman-Pro?).
Zijn er verder nog tips om bijvoorbeeld de pc van m'n ouders (of vriendin, of schoonouders, of buurman, of ieder ander niet zo technisch onderlegd persoon) te beveiligen?

Kwam Ransomfree tegen, en heb deze geïnstalleerd. Biedt dit volgens jullie meerwaarde?

Anoniem: 687358 30 mei 2017 17:01

Dit virus kan je niet activeren want het is een worm en word via het netwerk verspreid en voornamelijk via port 445 SMB services. Het is heel makkelijk om gebruikers ergens de schuld van te geven en het is zeker zo dat veel door gebruikers zelf veroorzaakt word. Deze worm kwam door een niet gepatched lek binnen op voornamelijk windows xp en 7 systemen en was op moment van uitkomen een zero day exploit. Eerst graag wat onderbouwen voor dat je roept, voorkomt een hoop discussie.

1nsane 30 mei 2017 19:08

Ergens krijg ik het gevoel dat een organisatie Wannacry gebouwd heeft niet op basis van chaos willen creeeren vanuit een land (Zoals Noord-Korea wat in de media beweerd wordt) maar dat het puur is om de spionagedrang van de NSA en dus de USA een hak te zetten. Of dat nou in een landsbelang is of niet.

Natuurlijk is het vervelend dat er systemen geinfecteerd zijn en er hinder van hebben maar als je m'n bovenstaande stelling wilt bereiken, dan is dit wel een goede methode.

Immers doken er allerlei anti-virus specialisten en Microsoft bovenop om zo snel mogelijk te patchen zodat al deze NSA tools eigenlijk niet meer bruikbaar zijn omdat ze de zelfde zero-day exploits gebruiken.

Of MS nou beinvloed wordt door de Amerikaanse overheid of niet, er niks aan doen, daar waren ze nooit mee weg gekomen.

Ergens vind ik het best een prettige gedachte dat je niet meer met de bestaande zero-days begluurd kan worden en ongetwijfeld zullen overheden wel weer nieuwe manieren bedenken om dat wel te doen maar voor nu is het effect wel dat ze hun huidige exploits lastig kunnen gebruiken.

djexplo 30 mei 2017 13:53

In de toekomst gaan dit soort infecties gelukkig minder hard.

Momenteel zijn (bijna) alle IP4 (4 miljard) adressen in gebruik. Stel dat 1 op de 1000 IP adressen kwetsbaar is, en je met 1 besmet systeem elke minuut 100 adressen kan benaderen. Dan is elke 10 minuten een hit. Dus elke 10 minuten verdubbeld het aantal infecties. Dus om 2^32 adressen af te scannen is maar 32 x 10 minuten oftewel 5 uur.

Met IP6 heb je op eens 4 miljard * 4 miljard * 4 miljard * 4miljard adressen, dat betekend dat bruut forse scannen niet meer kan omdat 0.0000000000000000000000000001% van de IP adressen daad werkelijk in gebruik is.

jpsch @djexplo • 30 mei 2017 14:35

Komen ook steeds meer dingen aan internet te hangen. Meerdere adressen dus in gebruik. En als mijn ip onderbroek gehackt is en mee doet aan het brute force scannen ontdek ik dat waarschijnlijk ook niet snel.

cyclone @djexplo • 30 mei 2017 16:52

In de toekomst gaan dit soort infecties gelukkig minder hard.

HUH
Je baseert dit op een dubbelle op niets gebaseerde aanname.

Momenteel zijn (bijna) alle IP4 (4 miljard) adressen in gebruik. Stel dat 1 op de 1000 IP adressen kwetsbaar is, en je met 1 besmet systeem elke minuut 100 adressen kan benaderen.

1 op 1000 ? Ben heel benieuwd waar je dat op baseert.
En 1 systeem dat maar 100 adressen per minuut kan scannen, ook dat is nergens op gebaseert.

No offense ment
Vroeg me af of ik hier op zou moeten reageren, hopelijk zie je in dat het wellicht een prima reactie is als je het op feiten baseert maar zolang je het niet onderbouwt kun je net zo goed niet reageren.

Zou inhoudelijk kunnen reageren en compleet verhaal houden hoeveel ip's je kunt scannen per minuut, en hoe deze snelheid zich verhoudt naar de beschikbare bandbreedte de latency naar de te scannen IP's, het aantal te scannen poorten etc etc, maar geloof dat je wel een idee krijgt dat je dit niet zomaar als een constante kunt nemen.

[Reactie gewijzigd door cyclone op 23 juli 2024 00:56]

batjes

Security

@cyclone • 30 mei 2017 18:55

Het woordje "stel" gemist? Het zijn maar voorbeelden, het gaat om het idee/principe.

defixje @cyclone • 30 mei 2017 21:20

Stel dat 1 op de 1000 IP adressen kwetsbaar is...

1 op 1000 ? Ben heel benieuwd waar je dat op baseert.

Volgens mij staat er Stel, in mijn ogen geeft hij dus alleen een stelling (en dus daarbij aannames) om een theorie uit een te zetten.

Anoniem: 636203 @djexplo • 30 mei 2017 14:41

De uptake van IPv6 is helaas nog bedroevend laag. Vooral in het westen is er weinig animo om over te schakelen. In Azië (welke relatief weinig IP adressen toegewezen heeft gekregen) is de uptake heel groot.

HellStorm666 30 mei 2017 14:47

Ik zou eigenlijk wel graag willen checken of er vanaf een van mijn ip's ook een check gedaan is naar de kill-switch.
Iemand een idee of dat te checken is?

Koffiebarbaar @HellStorm666 • 30 mei 2017 15:23

Als je zelf geen firewall of misschien DNS logs o.i.d. hebt waar dat normaliter in terug te vinden is ga je dat niet traceren.

johnkeates 30 mei 2017 13:35

WannaCry heeft massscan gebruikt, niet zo gek dus.

catalisator 30 mei 2017 13:48

wij hebben deze test op maandag gedaan, echter niet de windows updates gedaan, want windows had er ook direct een patch voor.
Verder hebben we het AV systeem niet geüpdatet op deze machine.
De verwachting was dat het AV systeem het algoritme zou herkennen.
En dat deed deze dan ook.
We kregen er ook geen naam bij ( inmiddels wel ) , en werd direct in quarantaine geplaatst.

CivLord

@catalisator • 30 mei 2017 15:19

wij hebben deze test op maandag gedaan, echter niet de windows updates gedaan, want windows had er ook direct een patch voor.

Die patch van Microsoft was er al sinds maart.

Op dit item kan niet meer gereageerd worden.

'WannaCry trof meer dan 700.000 unieke ip-adressen'

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: