Windows-lek leidt tot tweede grootschalige aanval (update)

© DN

Een nieuwe cyberaanval van grote omvang heeft honderdduizenden computers ter wereld besmet. Het doel van de aanval is virtueel geld creëren en verzamelen zonder medeweten van de gebruikers. Dat melden computerbeveiligingsexperts aan persagentschap AFP en werd door securitybedrijf Sophos bevestigd aan Data News.

Na de cyberaanval van vrijdag, waarbij hackers via het virus WannaCry virtueel losgeld vroegen, “hebben onderzoekers van het IT-beveiligingsbedrijf Proofpoint een nieuwe aanval ontdekt die gelinkt is aan WannaCry, genaamd Adylkuzz”, verklaart Nicolas Godier, computerbeveiligingsexpert van Proofpoint. “Het nieuwe virus gaat subtieler te werk en gebruikt de hackertools die verspreid werden door de NSA en de zwakke plekken die nu zijn opgelost door Microsoft.”

Robert Holmes, vice-president van productie bij Proofpoint, schetst de situatie: “De omvang van de schade is nog niet precies bekend, maar we weten wel dat honderdduizenden computers geïnfecteerd kunnen zijn en dat de aanval veel groter is dan Wannacry.”

Concreet gezegd dringt de malware binnen in kwetsbare computers dankzij dezelfde zwakke plekken van Windows die ook Wannacry gebruikte. De malware creëert virtuele geldeenheden genaamd Monero, vergelijkbaar met Bitcoin, die onzichtbaar en ontraceerbaar zijn. De gegevens die deze winsten mogelijk maken worden overgenomen en doorgestuurd naar versleutelde webadressen.

“Hoewel de aanval dus stiller en zonder gebruikersinterface gebeurt, is Adylkuzz winstgevender voor cybercriminelen. De geïnfecteerde gebruikers dragen zonder dat ze het weten bij aan geldwinst voor de aanvallers”, gaat Godier verder. “Een symptoom van de aanval is vooral dat de computer van de gebruiker trager werkt”, valt te lezen op een blog van Proofpoint. De blog meldt ook dat de aanval gelanceerd is op 2 mei of zelfs 24 april en bovendien nog steeds aan de gang is.

De beveiligingsfirma heeft al computers opgemerkt die zonder medeweten van de gebruikers het equivalent van enkele duizenden dollars hebben betaald. “Dergelijke aanvallen, waarbij malware versleuteld geld creëert, hebben reeds plaatsgevonden, maar nog nooit op zo’n grote schaal”, aldus Robert Holmes.

Update: In een gesprek met Data News bevestigt securitybedrijf Sophos de aanval, maar het bedrijf voegt eraan toe dat het niet om een nieuwe aanval gaat. “Adylkuzz is oude bitcoin mining malware die Sophos al langer kent en tegenhoudt, en die nu op een nieuwe manier wordt afgeleverd,” vertelt Lars Putteneers, Security Advisor bij Sophos. De EternalBlue exploit, het lek in Windows dat berucht werd als de manier waarop Wannacry zich zo snel kon verspreiden, wordt hier dus ingezet om bestaande malware op computers binnen te loodsen.

Die Adylkuzz zal niet meteen je computer gijzelen, maar hij is daarom niet minder gevaarlijk, zegt Putteneers: “Ze willen dat de computers blijven draaien zodat ze geld kunnen verdienen. Dat lukt best wanneer de gebruiker daar geen weet van heeft, dus die malware is minder zichtbaar dan ransomware. Maar ze is ook gevaarlijk, want als je bitcoin software kan lanceren, kan je ook andere software lanceren om bijvoorbeeld gebruikersnamen en wachtwoorden te achterhalen. Als je dat kan zonder dat mensen dat doorhebben, kunnen ze jarenlang data stelen.”

Omdat de malware hetzelfde lek gebruikt als Wannacry, houdt dezelfde Windows-patch (MS 17-010) in principe ook nieuwe besmettingen met Adylkuzz tegen. “Al kan het wel zijn dat de mining software al op je computer staat,” zegt Putteneers. Ze kan bijvoorbeeld al van voor de massale paniek van dit weekend op je computer staan, of ze werd via een andere manier verspreid.

(Belga/EB)

Partner Content