Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Voor BadRabbit-ransomwareaanval gebruikte servers zijn alweer offline'

De servers die zijn gebruikt bij de verspreiding van de BadRabbit-malware, zijn inmiddels alweer offline gehaald volgens verschillende beveiligingsbedrijven. De ransomware kwam dinsdagavond tevoorschijn en trof vooral organisaties in Rusland en Oekra´ne.

Eerder bleek al uit verschillende analyses dat de ransomware werd verspreid door middel van drive by-downloads, waarbij bezoekers van ge´nfecteerde sites een nep-update van Flash kregen voorgeschoteld. Dat gebeurde onder andere op nieuwswebsites. De servers die werden gebruikt om de kwaadaardige update aan te bieden, waren na enkele uren alweer offline, vertellen beveiligingsbedrijven aan Motherboard. Het is onduidelijk wie verantwoordelijk is voor het neerhalen van de servers. Symantec heeft statistieken gepubliceerd waarin te zien is dat er een piek in het aantal infecties zat in de eerste twee uur van de aanvallen.

 Statistieken van het aantal infecties per uur, volgens Symantec

Het Amerikaanse beveiligingsbedrijf meldt verder dat 86 procent van de infectiepogingen plaatsvond in Rusland, wat overeenkomt met eerdere berichten. In meer dan 80 procent van de infectiepogingen ging het om systemen van bedrijven en niet van consumenten. Woensdag schreef beveiligingsbedrijf Malwarebytes dat de groep achter BadRabbit misschien ook verantwoordelijk was voor NotPetya. Inmiddels hebben meer bedrijven in de sector die conclusie getrokken. Onderzoeker Bart Parys schrijft daarnaast dat de aanval misschien een rookgordijn was om een andere aanval te verhullen.

ESET publiceerde na de NotPetya-aanvallen een analyse waarin het de malware toeschreef aan een groep die het TeleBots noemt. Die zou al langer doelwitten in Oekra´ne op het oog hebben. Een ander bedrijf, RiskIQ, heeft inmiddels ook een analyse van BadRabbit gepubliceerd, waarin het ingaat op de bij de recente aanval gebruikte infrastructuur. Het meldt dat deze deels al aan het begin van vorig jaar online was. Kaspersky-onderzoeker Costin Raiu kwam tot dezelfde conclusie. Ook noemt RiskIQ de mogelijkheid dat de infrastructuur oorspronkelijk voor een andere campagne dan BadRabbit was opgebouwd.

Door Sander van Voorst

Nieuwsredacteur

26-10-2017 • 11:08

14 Linkedin Google+

Reacties (14)

Wijzig sortering
Blijkbaar was het bij Flash altijd gangbaar om je beheerdersrechten nodig te hebben voor het bijwerken. Eigenlijk wel kwalijk dat je dat soort rechten ook bij 'eenvoudige' handelingen als een update ook nodig hebt. Hierdoor worden mensen een beetje permissie- en wachtwoordmoe en wordt er niet meer gekeken welk proces het vraagt, omdat je het blijkbaar bij elke scheet al nodig hebt.
Ik vind dit zeker geen firstworldproblems, maar echt software-architect design flaws.
Voor de thuisgebruiker klopt je punt wel grotendeels, maar ook daarbij is het niet (imo) niet handig om updates altijd te kunnen doen zonder beheerdersrechten.
Dat is de grootste groep, mensen die in hun 1'tje het systeem gebruiken. Die moeten tegelijkertijd alle normale dingen zonder poeha kunnen, terwijl kwalijke software dat niet kan. Ook de inrichting bij Linux vind ik vrij middeleeuws. Als ik voor elk programma in de Ubuntu Software store m'n wachtwoord moet invullen, hoe weet ik dan wanneer het nÝet de bedoeling is deze in te typen als een malafide programma dit ineens ook vraagt? De handeling is immer vertrouwd geworden.

Daarnaast zijn juist de meest essentiŰle bestanden, de gebruikersbestanden, helemaal niet beschermd bij hedendaagse computer-OS'en, en wordt ten onrechte alleen het systeemeigene als cruciaal en beschermd gezien. Elk random programma heeft bij zowel Windows als Linux alle schrijf- en leesrechten op data in de gebruikersmappen. Een design flaw van formaat noem ik dat, en dat zie je ook steeds meer terug in de opkomst van ransomware.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True