Nieuwe UIWIX-ransomware verspreidt zich via NSA-exploit

[Captain Kirk]

Na de uitbraak van de WannaCry-ransomware en de malware die besmette servers naar de digitale valuta Monero laat minen is er een nieuw malware-exemplaar ontdekt dat de EternalBlue-exploit van de NSA gebruikt om Windowssystemen via een beveiligingslek in SMB te infecteren.

Het gaat om een ransomware-exemplaar genaamd UIWIX. Hoewel WannaCry en UIWIX dezelfde exploit gebruiken verschillen de exemplaren van elkaar. Zo infecteert UIWIX geen systemen in Rusland, Kazachstan en Wit-Rusland. Ook laat deze ransomware besmette machines niet naar andere computers in het netwerk scannen om zich zo als een worm te verspreiden. UIWIX beschikt daarnaast ook niet over een killswitch, wat uiteindelijk de achilleshiel van WannaCry bleek te zijn.

Verder is het losgeldbedrag dat deze ransomware vraagt (200 dollar) lager dan het bedrag dat WannaCry-slachtoffers moeten betalen (300 dollar). Nog een ander verschil is dat UIWIX voor elk slachtoffer een uniek bitcoinadres gebruikt, terwijl WannaCry in totaal met drie bitcoinadressen werkt, zo melden beveiligingsbedrijven Heimdal Security en Trend Micro.

 

 

bron: security.nl