WannaCry-ransomware nog steeds actief

Ruim anderhalf jaar na de uitbraak van de WannaCry ransomware is de malware nog steeds op een groot aantal systemen actief volgens Jamie Hankins van securitybedrijf Kryptos Logic.

De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al meer dan anderhalf jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond.

Een onderzoeker van Krypto Logic registreerde kort na de eerste infecties een domeinnaam die als killswitch voor de ransomware fungeert.

Doordat de domeinnaam van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken. Twee weken geleden zag Kryptos Logic gedurende zeven dagen meer dan 17 miljoen 'beacons' (verbindingen) van besmette machines, afkomstig van ruim 639.000 unieke ip-adressen. De getroffen machines zijn aanwezig in 194 landen en de meeste infecties bevinden zich in China, Indonesië, Vietnam en India. Door toepassing van dhcp (dynamic host configuration protocol), dat veel organisaties gebruiken om machines in het interne netwerk van ip-adressen te voorzien, is het onduidelijk hoeveel computers daadwerkelijk nog zijn besmet.