Microsoft: Doppelpaymer-ransomware werd niet via BlueKeep-exploit verspreid

De Doppelpaymer-ransomware die deze maand rondging bij bedrijven is niet verspreid via de BlueKeep-kwetsbaarheid. Microsoft heeft die geruchten ontkracht in een blogpost. Het bedrijf zegt dat de ransomware op andere manieren bij bedrijven binnen kwam.

Microsoft schrijft dat in een advies aan gebruikers die getroffen zijn door Doppelpaymer. Die sloeg begin deze maand toe bij een aantal bedrijven, met name bij het Mexicaanse olieconcern Pemex. De Doppelpaymer-ransomware bestaat al sinds halverwege juni dit jaar en slaat vooral bij bedrijven toe. De verspreiders vragen een hoog losgeldbedrag, vaak van miljoenen euro's. Er zijn al tientallen bedrijven getroffen. Naast Pemex werd ook een Spaans ict-bedrijf erdoor getroffen.

Met name door die laatste infectie gingen er onder beveiligingsonderzoekers geruchten rond dat de ransomware was verspreid via de BlueKeep-kwetsbaarheid. Dat is een lek in het Remote Desktop Protocol in Windows. Voor BlueKeep is al maanden een patch beschikbaar, maar duizenden bedrijven wereldwijd hebben die nog steeds niet doorgevoerd. Veel instanties en bedrijven zijn bang dat het lek 'een nieuwe WannaCry' kan veroorzaken. Die destructieve ransomware veroorzaakte in 2017 veel schade, en werd via eenzelfde kwetsbaarheid verspreid. Microsoft waarschuwde eerder deze maand opnieuw dat bedrijven de patch moesten doorvoeren. Tot nu toe is BlueKeep nog niet actief misbruikt door serieuze criminelen, al zijn er wel cryptominers geïnstalleerd.

De geruchten gingen eerder al dat de Doppelpaymer-ransomware via Microsoft Teams werd verspreid en misbruik maakte van BlueKeep. Dat is volgens Microsoft niet waar. Het bedrijf zegt dat de aanvallers gebruik maakten van gestolen wachtwoorden van domeinbeheerders. Daardoor konden de aanvallers binnendringen en zich door de geïnfecteerde netwerken heen bewegen.