×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'WannaCry trof meer dan 700.000 unieke ip-adressen'

Door , 32 reacties

Het Amerikaanse beveiligingsbedrijf Kryptos Logic, waar onderzoeker MalwareTech werkzaam is, heeft een eigen analyse gepubliceerd van de WannaCry-malware. Daarin stelt het bedrijf dat de ransomware ongeveer 727.000 unieke ip-adressen heeft ge´nfecteerd.

Door de gegevens te analyseren die het zogenaamde sinkholedomein opleverde, schat het bedrijf dat het totale aantal getroffen systemen achter de ip-adressen neerkomt op 2 tot 3 miljoen. Daarbij zou het om een conservatieve schatting gaan. Dat aantal betreft de systemen die niet door WannaCry zijn versleuteld. Het aantal systemen dat wel met versleutelde systemen te maken had, ligt volgens Kryptos Logic in de honderdduizenden. Verdere details worden niet genoemd. Het sinkhole werd ingesteld nadat onderzoeker MalwareTech een url had ontdekt waarmee WannaCry verbinding maakte en die fungeerde als een soort 'killswitch'.

Kryptos Logic blijft bij de eerdere veronderstelling van de onderzoeker dat de killswitch een poging is om analyse van de malware in een sandbox te bemoeilijken. Het bedrijf publiceert bovendien statistieken over de geografische verdeling van WannaCry-infecties. 90 landen hadden meer dan 1000 geïnfecteerde ip-adressen en in totaal ging het om 8900 steden. Veruit de meeste infecties vonden plaats in China, gevolgd door de VS en Rusland. Het gevaar van WannaCry komt volgens het bedrijf voort uit de hoge snelheid waarmee het zich aan de hand van een enkele kwetsbaarheid verspreidt, sneller dan welke spamcampagne of exploitkit dan ook.

Over de huidige staat van de ransomware zegt het bedrijf dat er nog steeds infecties plaatsvinden, zowel van niet eerder getroffen systemen als van systemen die opnieuw worden geïnfecteerd. Dat suggereert dat de systemen geen update hebben ontvangen of geen antivirussoftware gebruiken. Die moet namelijk inmiddels zijn bijgewerkt om WannaCry-infecties te voorkomen. In China vindt het grootste aantal infecties plaats; in andere landen is een stabieler patroon te zien. De conclusie is dat de malware zich nog steeds verspreidt en ongepatchte systemen vindt.

Zoals na de WannaCry-uitbraak al bleek, werd onder meer het Mirai-botnet ingezet om het sinkholedomein aan te vallen. Desondanks wisten de onderzoekers het domein in de lucht te houden, wat een groot aantal versleutelde systemen zou hebben voorkomen. Zij schrijven dat bedrijven als CloudFlare en Amazon aanboden bij te springen als dat nodig was geweest.

  WannaCry-infectieschema volgens Kryptos Logic

Door Sander van Voorst

Nieuwsredacteur

30-05-2017 • 13:25

32 Linkedin Google+

Reacties (32)

Wijzig sortering
Gelukkig hebben wij in een test omgeving even dit "virus" mogen activeren.
Onze beveiliging haalde hem meteen neer, en de locker zelf kon dus niet in actie komen.

Ook windows defender zag hem, en deed wat hij moest doen.
Pas toen wij alles uit hadden staan slaagden wij er in om de machine ge´nfecteerd te krijgen.
Dat zegt volgens mij wel wat over de beveiliging van deze ge´nfecteerde machines en of hun gebruikers, want bij windows defender kan je succesvol op YES rammen ! en NATUURLIJK willen we een virus uitvoeren.

Bij ons antivirus pakket kregen we deze optie ook, echter op het moment dat deze het .exe uitpakt, gooit hij deze direct weg.

Gelukkig zitten wij dus aan de veilige kant, maar je weet het nooit.
Een test opstelling met een fysieke lijn naar buiten is dan wel zo prettig .
Waar bestond die testomgeving dan uit? Was dat de software en definities van toen de uitbraak plaatsvond, of halen de huidige bijgewerkte systemen het er nu uit?

Akkoord moeten geven voor het runnen van het virus, was toch juist niet nodig? Nergens kunnen lezen dat er een bijlage geopend moest worden.
##Akkoord moeten geven voor het runnen van het virus, was toch juist niet nodig?##
Precies!

En ik heb nog wel meer aan te merken op het verhaal van catalisator. Maakt nl ook nogal wat uit of je draait met Win10 of XP etc. Tijdstip van test natuurlijk ook erg belangrijk met alle gepsuhte patches etc., maar dat wordt hierboven ook al gemeld.
Niets mis met testen (geeft wat zekerheid over je huidige systeem), maar zegt weinig over het voorkomen van de besmetting tijdens de uitbraak.
Nou ja, als testen geen doel dient, dan is het natuurlijk zonde van je tijd. En in dit geval is de verkregen zekerheid wat mij betreft een schijnzekerheid. Dus met deze test was wel iets mis....
Akkoord moeten geven voor het runnen van het virus, was toch juist niet nodig? Nergens kunnen lezen dat er een bijlage geopend moest worden.
Dat was alleen als het virus het netwerk waar je op zat al had ge´nfecteerd. Als je het virus kreeg door bijv. een bijlage te downloaden, dan ging het minder automatisch.
En wanneer heb je deze test gedaan?
Vrijdag toen het uitbrak en nog een zero day was of maandag toen alle AV vendors al updates hadden voorzien?
De term zero-day klopt hier niet helemaal, aangezien er toen dus blijkbaar een maand geleden een patch beschikbaar was voor. Dus omdat de bug/flaw bekend is bij de fabrikant is het bij definitie geen zero-day meer. Dat het zo lang heeft geduurd tot misbruik naar boven kwam of dat de patch bekend werd is een ander verhaal.
Het verspreiden na het oorspronkelijk uitvoeren van de malware was inderdaad al een maand gepatched, maar het uitvoeren op het toestel dat de malware binnenhaalt werd door deze patch niet tegengehouden... Een klassieke crypto zonder het intern verder te verspreiden dus :)
Het specifieke WannaCry-virus wordt natuurlijk al sinds een dag na de uitbraak gedetecteerd door alle virusscanners. Maar je hoeft maar een klein stukje aan te passen en de signature van de virusscanners matcht niet meer. Een goede virusscan herkent en blokkeert de specifieke SMB-exploit, of werkt via heuristiek en herkent mass-versleuteling of ander verdacht gedrag.
Maar je hoeft maar een klein stukje aan te passen en de signature van de virusscanners matcht niet meer
Dat is ook niet perse waar, een virusscanner is tegenwoordig wel iets beter dan alleen een MD5/SHA1 hash vergelijken.
Vergeet niet dat Windows 7 hem er nog steeds doodleuk doorlaat als je geen virusscanner hebt zoals malwarebytes ofzo.
Niet als je windows defender hebt draaien. Wat een MS product is en ˇˇk bij W7 hoort. Er is geen enkele externe virusscanner nodig (op windows) om veilig te zijn voor dit virus. Ook als je windows zelf niet geupdate is.
Windows 7 heeft GEEN virusscanner die deze worm herkent, daarvoor heb je security essentials nodig.
... die bij Windows 7 hoort en gewoon via windows update te installeren is. Security Essentials = windows defender.

Je hebt gelijk dat die niet default meegeinstalleerd wordt. Dat wil niet zeggen dat W7 het niet heeft. Die heeft het wel, en je hebt geen externe viruscanner of anti-malware nodig op W7.

[Reactie gewijzigd door Tronald Dump op 30 mei 2017 17:40]

Standaard herkent Windows 7 deze virus dus niet.
Dus wel. Via de windows defender.

Standaard wil niet zeggen 'de default install'. Standaard wil zeggen, dat wat je als klant kunt installeren met aanschaf van het pakket alleen, zonder externe zaken aan te schaffen/downloaden.

Vergelijk het met de server versies, je kunt zeggen dat Windows standaard geen webserver heeft. Dat heeft ie wel, IIS, maar dat moet je separaat installeren. Maar wordt wel degelijk gewoon standaard meegeleverd.

Zo is het ook met defender.
Volgende keer een worm met een niet gepatchte zero day. Dat gaat wat geven ...
Wat is jullie advies voor een huis-tuin-keuken pc?

Uiteraard gezond verstand (als je de mail niet vertrouwd, gooi hem dan weg), systeem up-to-date houden (automatische updates), en antivirus (MSE?) en anti-malware (Hitman-Pro?).
Zijn er verder nog tips om bijvoorbeeld de pc van m'n ouders (of vriendin, of schoonouders, of buurman, of ieder ander niet zo technisch onderlegd persoon) te beveiligen?

Kwam Ransomfree tegen, en heb deze ge´nstalleerd. Biedt dit volgens jullie meerwaarde?
Dit virus kan je niet activeren want het is een worm en word via het netwerk verspreid en voornamelijk via port 445 SMB services. Het is heel makkelijk om gebruikers ergens de schuld van te geven en het is zeker zo dat veel door gebruikers zelf veroorzaakt word. Deze worm kwam door een niet gepatched lek binnen op voornamelijk windows xp en 7 systemen en was op moment van uitkomen een zero day exploit. Eerst graag wat onderbouwen voor dat je roept, voorkomt een hoop discussie.
Ergens krijg ik het gevoel dat een organisatie Wannacry gebouwd heeft niet op basis van chaos willen creeeren vanuit een land (Zoals Noord-Korea wat in de media beweerd wordt) maar dat het puur is om de spionagedrang van de NSA en dus de USA een hak te zetten. Of dat nou in een landsbelang is of niet.

Natuurlijk is het vervelend dat er systemen geinfecteerd zijn en er hinder van hebben maar als je m'n bovenstaande stelling wilt bereiken, dan is dit wel een goede methode.

Immers doken er allerlei anti-virus specialisten en Microsoft bovenop om zo snel mogelijk te patchen zodat al deze NSA tools eigenlijk niet meer bruikbaar zijn omdat ze de zelfde zero-day exploits gebruiken.

Of MS nou beinvloed wordt door de Amerikaanse overheid of niet, er niks aan doen, daar waren ze nooit mee weg gekomen.

Ergens vind ik het best een prettige gedachte dat je niet meer met de bestaande zero-days begluurd kan worden en ongetwijfeld zullen overheden wel weer nieuwe manieren bedenken om dat wel te doen maar voor nu is het effect wel dat ze hun huidige exploits lastig kunnen gebruiken.
In de toekomst gaan dit soort infecties gelukkig minder hard.

Momenteel zijn (bijna) alle IP4 (4 miljard) adressen in gebruik. Stel dat 1 op de 1000 IP adressen kwetsbaar is, en je met 1 besmet systeem elke minuut 100 adressen kan benaderen. Dan is elke 10 minuten een hit. Dus elke 10 minuten verdubbeld het aantal infecties. Dus om 2^32 adressen af te scannen is maar 32 x 10 minuten oftewel 5 uur.

Met IP6 heb je op eens 4 miljard * 4 miljard * 4 miljard * 4miljard adressen, dat betekend dat bruut forse scannen niet meer kan omdat 0.0000000000000000000000000001% van de IP adressen daad werkelijk in gebruik is.
Komen ook steeds meer dingen aan internet te hangen. Meerdere adressen dus in gebruik. En als mijn ip onderbroek gehackt is en mee doet aan het brute force scannen ontdek ik dat waarschijnlijk ook niet snel.
In de toekomst gaan dit soort infecties gelukkig minder hard.
HUH
Je baseert dit op een dubbelle op niets gebaseerde aanname.
Momenteel zijn (bijna) alle IP4 (4 miljard) adressen in gebruik. Stel dat 1 op de 1000 IP adressen kwetsbaar is, en je met 1 besmet systeem elke minuut 100 adressen kan benaderen.
1 op 1000 ? Ben heel benieuwd waar je dat op baseert.
En 1 systeem dat maar 100 adressen per minuut kan scannen, ook dat is nergens op gebaseert.

No offense ment
Vroeg me af of ik hier op zou moeten reageren, hopelijk zie je in dat het wellicht een prima reactie is als je het op feiten baseert maar zolang je het niet onderbouwt kun je net zo goed niet reageren.

Zou inhoudelijk kunnen reageren en compleet verhaal houden hoeveel ip's je kunt scannen per minuut, en hoe deze snelheid zich verhoudt naar de beschikbare bandbreedte de latency naar de te scannen IP's, het aantal te scannen poorten etc etc, maar geloof dat je wel een idee krijgt dat je dit niet zomaar als een constante kunt nemen.

[Reactie gewijzigd door cyclone op 30 mei 2017 16:53]

Het woordje "stel" gemist? Het zijn maar voorbeelden, het gaat om het idee/principe.
Stel dat 1 op de 1000 IP adressen kwetsbaar is...
1 op 1000 ? Ben heel benieuwd waar je dat op baseert.
Volgens mij staat er Stel, in mijn ogen geeft hij dus alleen een stelling (en dus daarbij aannames) om een theorie uit een te zetten.
De uptake van IPv6 is helaas nog bedroevend laag. Vooral in het westen is er weinig animo om over te schakelen. In AziŰ (welke relatief weinig IP adressen toegewezen heeft gekregen) is de uptake heel groot.
Ik zou eigenlijk wel graag willen checken of er vanaf een van mijn ip's ook een check gedaan is naar de kill-switch.
Iemand een idee of dat te checken is?
Als je zelf geen firewall of misschien DNS logs o.i.d. hebt waar dat normaliter in terug te vinden is ga je dat niet traceren.
WannaCry heeft massscan gebruikt, niet zo gek dus.
wij hebben deze test op maandag gedaan, echter niet de windows updates gedaan, want windows had er ook direct een patch voor.
Verder hebben we het AV systeem niet geŘpdatet op deze machine.
De verwachting was dat het AV systeem het algoritme zou herkennen.
En dat deed deze dan ook.
We kregen er ook geen naam bij ( inmiddels wel ) , en werd direct in quarantaine geplaatst.
wij hebben deze test op maandag gedaan, echter niet de windows updates gedaan, want windows had er ook direct een patch voor.
Die patch van Microsoft was er al sinds maart.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*