Sinds de wereldwijde uitbraak van de WannaCry-ransomware in mei 2017 vinden er maandelijks nog steeds miljoenen detecties plaats. In augustus 2019 detecteerde beveiligingsbedrijf Sophos 4,3 miljoen WannaCry-exemplaren.
Deze 11 WannaCry-varianten waren verantwoordelijk voor het grootste deel van de meer dan 4,3 miljoen WannaCry-aanvallen die we in augustus 2019 hebben waargenomen
Ondanks dat de originele malware niet is bijgewerkt, worden er vele duizenden kortlevende varianten vrijgegeven. Dit blijkt uit een rapport van Sophos over de uitbraak van WannaCry en wat er zich daarna allemaal heeft voorgedaan.
Dat varianten van WannaCry nog steeds zo alomtegenwoordig zijn, betekent dat er nog heel wat systemen actief zijn die de patch nooit hebben geïnstalleerd. Die patch werd nochtans twee jaar geleden al uitgebracht, zelfs nog voor de grote uitbraak van WannaCry.
6.963 verschillende varianten
Van de 4,3 miljoen WannaCry-exemplaren die in augustus werden gedetecteerd, gaat het om 6.963 verschillende varianten. Daarvan waren 5.555 bestanden nieuw, zo’n 80 procent.
De originele malware werd 407 keer door de onderzoekers opgespoord, sindsdien hebben zij 12.480 varianten van de oorspronkelijke code geïdentificeerd. Heel wat van die nieuwe varianten hebben een manier gevonden om de ‘kill-switch’ te omzeilen, die in 2017 een rem wist te zetten op de verdere verspreiding van de originele ransomware. Deze nieuwe variaties zijn dan ook de reden waarom WannaCry een gevaar blijft.
In een incidenten kaart van augustus, zie je de detecties van mislukte pogingen van malware WannaCry tegen Sophos-klanten.
Tussen de vele WannaCry-varianten die vandaag de ronde doen, zitten evenwel ook een groot aantal inerte versies, die niet meer in staat zijn om gegevens te versleutelen als gevolg van codecorruptie. Die werken als een toevallig vaccin en maken systemen immuun tegen een volwaardige WannaCry-aanval.
Dat komt door de manier waarop WannaCry zich verspreidt. De malware controleert in eerste instantie of een computer al besmet is. Zo ja, dan richt de malware zich op het volgende systeem. Een ongepatcht systeem kan zo alsnog bespaard blijven van een dramatische ransomware-aanval als het eerder al door een inerte versie van WannaCry werd besmet.
Bron: sophos, techzine, github
Reactie plaatsen
Reacties