Background news

Criminelen infecteren op dit moment Linux-servers via een beveiligingslek in Samba dat eind mei werd gepatcht. Een week na het uitkomen van de beveiligingsupdate werd de eerste aanval al waargenomen, zo meldt het Russische anti-virusbedrijf Kaspersky Lab.

Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windowsmachines met Unixmachines via zowel lokale netwerken als het internet laat communiceren. Via de kwetsbaarheid kan een aanvaller willekeurige code met rootrechten op de Samba-server uitvoeren. In het geval van de nu waargenomen aanvallen wordt er een backdoor op de server geïnstalleerd en een progamma dat de server naar de digitale valuta Monero laat minen.

Een groep geavanceerde hackers die door Microsoft 'Platinum' wordt genoemd gebruikt technologie van Intel om onzichtbaar op besmette systemen en netwerken te communiceren, zelfs als de netwerkkaart is uitgeschakeld en zonder dat firewalls en netwerkmonitoringstools op het systeem dit kunnen detecteren.

Vorig jaar kwam de hackergroep al in het nieuws vanwege het gebruik van "hotpatching", waarbij er stilletjes code in processen werd geïnjecteerd, zonder dat een proces moest worden herstart. Het was voor het eerst dat deze techniek door aanvallers werd waargenomen en de groep heeft volgens Microsoft een nieuwe primeur, namelijk het gebruik van Intel Active Management Technology (AMT) Serial-over-LAN (SOL) als communicatiekanaal. Dit kanaal werkt onafhankelijk van het besturingssysteem, waardoor alle communicatie die erover gaat onzichtbaar voor firewalls en monitoringstools op de host is. Niet eerder is er malware aangetroffen die AMT SOL gebruikt om te communiceren, aldus Microsoft.

De meeste WordPress-sites zijn onveilig omdat ze verouderde versies van het contentplatform draaien waarin beveiligingslekken aanwezig zijn. Dat laat IBM op basis van eigen onderzoek weten. Hoewel WordPress sinds oktober 2013 met de lancering van WordPress 3.7 over een automatische updatefunctie beschikt die kleine core-updates installeert, blijkt dat veel websites achterlopen.

Van de WordPress-sites die IBM onderzocht had minder dan 4 procent de meest recente versie geïnstalleerd. Daardoor lopen websites het risico om te worden gehackt en bijvoorbeeld voor phishing, spam, malware of het doorsturen van gebruikers naar andere websites te worden gebruikt. Verdere analyse van de gehackte WordPress-sites laat zien dat zelfs relatief "up-to-date" websites worden gecompromitteerd.

Een beveiligingsonderzoeker van MalwareTech heeft een killswitch gevonden in de Wana Decrypt0r 2.0-ransomware die op vrijdag zich als een lopend vuurtje over heel de wereld verspreidde. Een domeinnaamregistratie ten koste van tien dollar bleek de sleutel.

De onderzoeker achter het Twitteraccount van MalwareTech was door de code van de ransomware heen aan het grasduinen en ontdekte de regel waar staat dat de ransomware contact zoekt met een domeinnaam bestaande uit een wirwar van tekens. Dit domein was niet geregistreerd en de onderzoeker besloot het op zijn naam te zetten. Volgens The Guardian kostte dat een tientje. Daarna pas bleek dat dit de killswitch was waardoor de ransomware zijn verspreiding stopzet. "Ik zal toegeven dat ik er niet van bewust was dat de malware zou stoppen als ik de domeinnaam registreerde, dus het was per ongeluk," stelt hij op Twitter.