Petya-RansomWare

De wereld in gijzeling

Grootste Ransomware uitbraak maakt veel slachtoffers

De grote kranten, het NOS journaal, de online media – in de afgelopen 24 uur berichtten zij allemaal over nieuws dat normaliter de koppen niet haalt.

De IT-beveiliging van bedrijven schiet tekort en computersystemen over de gehele wereld zijn besmet geraakt met ‘gijzelsoftware’ (misschien wel het nieuwe woord van het jaar na ‘sjoemelsoftware’?), hele bedrijven liggen plat en de schade is groot. Ransomware is inmiddels voor een groot deel van Nederland geen vreemd woord meer, maar nu ook grote en bekende bedrijven hiervan in Nederland het slachtoffer zijn geworden beginnen mensen zich zorgen te maken. U ook?

Petya-RansomWare

Ransomware

Ransomware is inderdaad een zeer gevaarlijke vorm van malware die momenteel opvallend succesvol is en veel van de huidige beveiligingsmethodes lijkt te weten omzeilen. Maar ook eentje die slim gebruik maakt van het feit dat niet iedere computer altijd up-to-date is. Het risico van iedere succesvolle ransomware-besmetting is ook heel groot: van enkele bestanden tot alles op een computer inclusief Windows, gegevens op een server of NAS, Dropbox, GoogleDrive etc. is totaal onbruikbaar en ontoegankelijk geworden zonder dat eerst de losprijs wordt voldaan. Echte ransomware geeft na betaling de gegevens veelal weer vrij, maar de code achter deze aanval is zodanig dat dit nu ernstig in twijfel wordt gebracht. En na betaling loopt men het risico een volgende keer een eerste doelwit kan zijn van een nieuwe aanval.

Allereerst is het goed om te kijken naar deze laatste uitbraak; is er sprake van een wereldwijde aanval, is deze nieuwste ransomware uitbraak baanbrekend en is dit het begin van meer (en erger)?

Petya

Het begon op dinsdag 27 juni 2017 in de Oekraïne, waar zowel de centrale bank, overheidsinstanties, uiteenlopende bedrijven en privé gebruikers als eerste op grote schaal werden besmet met een blijkbaar nieuwe vorm van ransomware. Alle computers waren versleuteld en onbruikbaar; een deel van het openbare leven kwam tot stilstand. Daarna kwamen meldingen uit andere delen van Europa en Amerika die ook te maken kregen van besmette computersystemen en de gevolgen daarvan. Spanje, Frankrijk, Engeland en ook in Nederland ondervonden bedrijven de gevolgen. Op de Maasvlakte stonden hele vrachtterminals stil als gevolg, een groot bouwbedrijf ligt helemaal stil en ook de leveringen van een groot koeriersbedrijf ondervinden hinder.

IT securitybedrijven hebben de nieuwe ransomware besmetting de naam Petya (of PetrWrap, GoldenEye) gegeven en aangegeven dat bepaalde onderdelen overeenkomen op eerdere ransomware varianten. Petya maakt ook gebruik van het feit dat computers vaak niet up-to-date zijn en via een bekend Windows-lek kunnen worden besmet. Dit lek, de EternalBlue-exploit genaamd, maakt het tevens mogelijk dat één computer andere computers binnen het netwerk besmet en zodoende achter de firewall zijn kwaad verricht.

Petya probeert echter ook via al aanwezige admin-tools het beheer van andere computers over te nemen om hiermee andere computers te infecteren met de ransomware. Verschillende onderzoekers hebben inmiddels een aantal bijzonderheden in deze versie ransomware gevonden, waarmee een besmetting binnen een netwerkomgeving op verschillende manieren snel en effectief wordt uitgevoerd. Een volledige identificatie van Petya is nog niet afgerond.

Dit weten we tot nu toe

Op dit moment weten we dat infectie kan gebeuren via het smb-protocol, wat open van en naar het internet moet staan (Dit is absoluut geen best-practice! Blokkeer SMB-poorten altijd!) of via e-mail met een bijlage zoals “inmyguy.xls.hta“, welke na het openen zichzelf uitpakt via [% APPDATA%] \ 10807.exe. Een derde aanvalsvector is een mail met de bijlage “Order-20062017.doc“, welke de CVE-2017-0199 (CVSS score: 9.3) kwetsbaarheid misbruikt, deze download een bestand vanaf http://84.200.16 [.] 242 / myguy.xls (*code is aangepast ter bescherming). De malware zal zich dan op het systeem nestelen via bekende exploits, het gebruik van tools van SysInternals en Mimikatz faciliteren voor distributie en het stelen van (domein) login gegevens uit de LSASS.exe service. Tevens zal het de LokiBOT malware droppen op het systeem, deze (extra) malware zal trachten privégegevens te stelen en via een HTTP POST naar een command en control center sturen. Denk aan wachtwoorden, login informatie van web browsers en diverse crypto wallets (bitcoin ea).

Hierna versleuteld het bestanden en het file-index (ntfs) systeem. Na ~10 tot 60 minuten zal het systeem door een geforceerde crash rebooten en onderstaand scherm tonen:

Petya-RansomWare

En nu? Afwachten totdat ik aan de beurt ben?

Om besmetting met deze, maar ook toekomstige aanvallen van ransomware effectief te voorkomen zijn enkele hele simpele, maar wel belangrijke spelregels van belang:

  1. Zorg er voor dat alle systeemsoftware altijd up-to-date is (Windows, applicaties, tools, etc.), met name de volgende kritische updates:
    • a. Microsoft Security Update voor Windows SMB Server (MS17-010)
    • b. Beveiligingsupdate voor het Microsoft Office-beveiligingslek (MS2017-0199)
  2. Zorg voor een goede en altijd up-to-date antimalware bescherming zowel aan de rand van het netwerk (UTM-firewall) als op de endpoint (pc en server), eventueel aangevuld met specifieke anti-ransomware software.
  3. Zorg voor regelmatige backups van belangrijke gegevens en bewaar deze op een externe locatie. Systeemsoftware kan opnieuw worden geïnstalleerd, persoonlijke of bedrijfsgegevens zijn onvervangbaar.
  4. Denk goed (beter) na bij het gebruik van e-mail en internet m.b.t. verdachte berichten en websites, ingesloten links naar websites, gebruik van gevoelige data.
  5. Blokkeer het gebruik van de Microsoft PsExec tool dat als een standaard onderdeel van de SysInternal Suite wordt geleverd die door veel beheerders wordt gebruikt voor uiteenlopende beheertaken.
  6. Voorkom het ontvangen van bestanden die macro’s of andere onderdelen bevatten die een activiteit of proces kunnen starten.

Het resultaat van deze nieuwe ransomware-besmetting, de snelheid waarmee systemen en organisaties over de gehele wereld zijn beïnvloed en het effect ervan op de samenleving geven duidelijk aan dat IT een ‘bedrijfskritische’ rol speelt, maar ook dat de perceptie hiervan en de beveiliging nog te wensen overlaten. Een beter begrip van beide factoren moet leiden tot een minder grote impact van dit soort aanvallen, al blijft het gevaar nooit geheel uit te sluiten. Goede UTM-firewalls beschermen al direct op de internetaansluiting tegen deze vormen van malware en ransomware, zodat alle achterliggende computersystemen veilig zijn. Beveiliging van de pc en server endpoints blijven echter een onmisbare schakel voor totale bescherming.

Dit blog is eerder geplaatst op de website van SECWATCH.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *