Het Amerikaanse beveiligingsbedrijf Kryptos Logic, waar onderzoeker MalwareTech werkzaam is, heeft een eigen analyse gepubliceerd van de WannaCry-malware. Daarin stelt het bedrijf dat de ransomware ongeveer 727.000 unieke ip-adressen heeft geïnfecteerd. Door de gegevens te analyseren die het zogenaamde sinkholedomein opleverde, schat het bedrijf dat het totale aantal getroffen systemen achter de ip-adressen neerkomt op 2 tot 3 miljoen. Daarbij zou het om een terughoudende schatting gaan. Dat aantal betreft de systemen die niet door WannaCry zijn versleuteld. Het aantal systemen dat wel met versleutelde systemen te maken had, ligt volgens Kryptos Logic in de honderdduizenden. Verdere details worden niet genoemd. Het sinkhole werd ingesteld nadat onderzoeker MalwareTech een url had ontdekt, waarmee WannaCry verbinding maakte en die fungeerde als een soort 'killswitch'.

 

 

 

Kryptos Logic blijft bij de eerdere veronderstelling van de onderzoeker dat de killswitch een poging is om analyse van de malware in een sandbox te bemoeilijken. Het bedrijf publiceert bovendien statistieken over de geografische verdeling van WannaCry-infecties. 90 landen hadden meer dan 1000 geïnfecteerde ip-adressen en in totaal ging het om 8900 steden. Veruit de meeste infecties vonden plaats in China, gevolgd door de VS en Rusland. Het gevaar van WannaCry komt volgens het bedrijf voort uit de hoge snelheid waarmee het zich aan de hand van een enkele kwetsbaarheid verspreidt, sneller dan welke spamcampagne of exploitkit dan ook.

Over de huidige staat van de ransomware zegt het bedrijf dat er nog steeds infecties plaatsvinden, zowel van niet eerder getroffen systemen als van systemen die opnieuw worden geïnfecteerd. Dat suggereert dat de systemen geen update hebben ontvangen of geen antivirussoftware gebruiken. Die moet namelijk inmiddels zijn bijgewerkt om WannaCry-infecties te voorkomen. In China vindt het grootste aantal infecties plaats; in andere landen is een stabieler patroon te zien. De conclusie is dat de malware zich nog steeds verspreidt en ongepatchte systemen vindt.

Zoals na de WannaCry-uitbraak al bleek, werd onder meer het Mirai-botnet ingezet om het sinkholedomein aan te vallen. Desondanks wisten de onderzoekers het domein in de lucht te houden, wat een groot aantal versleutelde systemen zou hebben voorkomen. Zij schrijven dat bedrijven als CloudFlare en Amazon aanboden bij te springen als dat nodig was geweest.

 

Reacties mogelijk gemaakt door CComment