/ / / Wereldwijde ransomware aanval

Update 17 mei: afgelopen week werd op grote schaal een ransomware aanval uitgevoerd op organisaties wereldwijd. De aanval wordt geoormerkt als 'wanacry' en 'shadowbrokers'.

For the English version of this article click here: https://www.qsight.nl/nieuws/worldwide-ransome-attack?reload=1
 

Update 17 mei 2017:

Check Point heeft een updated IPS signature uitgebracht voor CVE-2017-0143.

Daarnaast is er een nieuwe Check Point IPS signature beschikbaar gekomen voor CVE-2017-0148.

Internal Proxy:

  • Do not block the killswitch domain on the perimeter; the malware is expecting a valid HTTP response from this domain to not spread via the SMB worm. (Since it's already sinkholed by researchers, it's OK to let the traffic between the infected systems and domain pass.)
  • If the above is not an option, set up an internal sinkhole that points that domain to an internal webserver. If your network has a non transparent proxy, you will need to setup an internal sinkhole, since the malware is not proxy aware.

*************************************************************************************************************************
Op dit moment wordt op grote schaal een ransomware aanval uitgevoerd op organisaties wereldwijd.
De aanval wordt geoormerkt als 'wanacry' en 'shadowbrokers'.
QSight IT geeft de volgende adviezen:

Preventieve maatregelen :

  • Installeer de volgende update van Windows om niet meer kwetsbaar te zijn ( https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
  • Open geen mail van onbekende afzenders
  • Blokkeer de TOR applicatie (The Onion router)
  • Blokkeer de volgende websites / domeinen in firewalls / proxies
    • http(:)//2.3.69.209:9001
    • http(:)//193.23.244.244:443
    • http(:)//50.7.161.218:9001
    • http(:)//188.166.23.127:443
    • http(:)//146.0.32.144:9001
    • UPDATE: het domein dat eerst geblokkeerd diende te worden (www(.)iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(.)com) dient gedeblokkeerd te worden. Indien de malware dit domein kan contacteren stopt de code en wordt verdere uitvoering gestopt. Een onderzoeker van MalwareTechBlog heeft een kill-switch gevonden in de ransomware waarmee de encryptie en de verspreiding gestopt kan worden. https://tweakers.net/nieuws/124635/beveiligingsonderzoeker-vindt-per-toeval-killswitch-voor-ransomware.html

 

  • Blokkeer de volgende ip-adressen
    • http(:)//128.31.0.39                
    • http(:)//149.202.160.69        
    • http(:)//197.231.221.221                
    • http(:)//46.101.166.19
    • http(:)//144.217.74.156
    • http(:)//146.0.32.144
    • http(:)//188.166.23.127
    • http(:)/193.23.244.244
    • http(:)//2.3.69.209
    • http(:)//50.7.161.218
    • http(:)//74.125.104.145
  • Schakel de Check Point IPS voor de volgende signature CPAI-2017-0177 / CVE-2017-0143

Suricata / Snort signature voor detectie met een IDS gebruik de volgende signature:

  • alert tcp $HOME_NET 445 -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:2;)

Systemen die kwetsbaar zijn:

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016

Wat betekent dit voor QSight IT IntelliGuard klanten:

  • Vanaf dit moment is voor alle IntelliGuard klanten een critical ingeregeld. Dit betekent indien er een detectie plaatsvindt het QSight IT SOC deze meldingen 24/7 zal opvolgen.

Wat betekent dit voor QSight IT IntelliDefense klanten:

  • Er zijn preventieve maatregelen genomen om ip-adressen / domeinen te blokkeren.
  • Indien IntelliDefense klanten een IPS afnemen dan wordt er op dit moment gecontroleerd of deze IPS signature (CPAI-2017-0177 / CVE-2017-0143) actief is en indien niet deze actief gemaakt.
  • (OPMERKING: de voormalige Qi ict Remote Control dienst heet nu ook IntelliDefense)

Bronnen:

UPDATE

Volgens de informatie bij Microsoft kunnen deze CVE's met de aanval te maken hebben: CVE-2017-0143, CVE-2017-0144, CVE-2017-0145 en CVE-2017-0146, CVE-2017-0147 en CVE-2017-0148. Deze kwetsbaarheden kunnen dus het beste worden beschermd in IPS systemen.

Een advies van Trend Micro is om SMBv1 te disablen, indien mogelijk. Dit staat in de volgende Trend Micro blog https://success.trendmicro.com/solution/1117391

 

 

Deel deze pagina
Meer weten?

 

Let op! U heeft niet alle verplichte velden ingevuld.

* = benodigde gegevens
Over QSight IT

Snel naar ...

Service & Advies

Focus op kennis en kwaliteit!  

Aankoop / technisch advies nodig?
tel Bel: (015) 888 04 44 of e-mail ons!
Op de hoogte blijven

Praat mee via onze online kanalen!

Let op! Om ons nieuwsbrief te kunnen ontvangen hebben wij een geldig e-mailadres nodig.
© 2016. QSight IT

Gebruik van deze website betekent dat u onze privacy policy, disclaimer en cookie policy accepteert.