Wereldwijd zijn meer dan 100.000 servers besmet geraakt met de NSA-malware die onlangs door de hackergroep Shadow Brokers openbaar werd gemaakt, zo claimt het Zwitserse beveiligingsbedrijf BinaryEdge. Het gaat om de DoublePulsar-tool die op de servers werd aangetroffen.

De NSA zou deze tool gebruiken nadat het via een exploit toegang tot een server heeft gekregen. De nu geinfecteerde servers zijn waarschijnlijk door cybercriminelen gehackt via een lek in Windows SMB-server dat Microsoft in maart patchte. BinaryEdge meldt dat het de DoublePulsar-tool op 106.000 servers heeft aangetroffen. Een veel groter getal dan in eerste instantie rondging. Beveiligingsbedrijf Below0Day stelde op donderdag dat ruim 30.000 servers waren getroffen, waaronder 1300 Nederlandse servers.

Microsoft levert kritiek op het opsparen van softwarekwetsbaarheden door overheden, na de omvangrijke WannaCrypt-aanval met ransomware van afgelopen weekend. De aanval zou een wake-up call moeten zijn voor overheden, meent de Windows-ontwikkelaar.

Microsoft roept op tot gezamenlijk actie door de tech-sector, klanten en overheden om bescherming te bieden tegen software- en internetaanvallen. Het bedrijf haalt tegelijk uit naar het verzamelen van kwetsbaarheden door inlichtingendiensten.

Microsoft spreekt van een terugkerend patroon van exploits in handen van overheden die uitlekken naar het publieke domein. "We hebben kwetsbaarheden opgeslagen bij de CIA gezien die verschenen bij WikiLeaks en nu treft deze kwetsbaarheid van de NSA klanten wereldwijd", schrijft Brad Smith, voorzitter van Microsoft.

Er is een nieuwe exploitkit voor cybercriminelen verschenen die zich opmerkelijk genoeg vooral op oude beveiligingslekken richt. Exploitkits zijn nog altijd een populaire manier voor cybercriminelen om internetgebruikers met malware te infecteren, maar de effectiviteit staat onder druk.

Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht. Steeds meer programma's beschikken echter over een automatische updatefunctie en sinds het oprollen van de bende cybercriminelen die achter de populaire Angler-exploitkit zat zijn er geen gelijkwaardige exploitkits verschenen om het ontstane gat op te vullen. Zo ontwikkelden de ontwikkelaars van de Angler-exploitkit geregeld nieuwe exploits die vervolgens aan de exploitkit werden toegevoegd.