Ruim 100.000 servers besmet met gelekte NSA-malware

[Captain Kirk]

Wereldwijd zijn meer dan 100.000 servers besmet geraakt met de NSA-malware die onlangs door de hackergroep Shadow Brokers openbaar werd gemaakt, zo claimt het Zwitserse beveiligingsbedrijf BinaryEdge. Het gaat om de DoublePulsar-tool die op de servers werd aangetroffen.

De NSA zou deze tool gebruiken nadat het via een exploit toegang tot een server heeft gekregen. De nu geinfecteerde servers zijn waarschijnlijk door cybercriminelen gehackt via een lek in Windows SMB-server dat Microsoft in maart patchte. BinaryEdge meldt dat het de DoublePulsar-tool op 106.000 servers heeft aangetroffen. Een veel groter getal dan in eerste instantie rondging. Beveiligingsbedrijf Below0Day stelde op donderdag dat ruim 30.000 servers waren getroffen, waaronder 1300 Nederlandse servers.

Het Zwitserse beveiligingsbedrijf laat echter weten dat meerdere professionals naar het detectiescript hebben gekeken en stellen dat het naar behoren werkt. Onderzoeker Luke Jennings van beveiligingsbedrijf Countercept heeft een script geschreven waarmee kan worden gecontroleerd of een server met DoublePulsar is geïnfecteerd. Beheerders die Microsoft-update MS17-010 niet meteen na het uitkomen hebben geïnstalleerd om het SMB-lek te dichten krijgen alsnog het advies om hun server te controleren, aangezien de machine voor het installeren van de patch mogelijk is getroffen.

 

 

bron: security.nl