Nieuws
Terug naar overzicht

(Non)Petya Ransomware uitbraak, wat te doen?

28 juni 2017

Op 27 juni jl. heeft de Petya Ransomware campagne het nieuws gehaald. Wereldwijd zijn vele besmettingen met deze Ransomware variant waargenomen waaronder enkele grote bedrijven als Maersk met de APM Terminals in Rotterdam, TNT Express en enkele grote bedrijven in Oekraine. In de avonduren zijn daar nog bedrijven in andere landen bijgekomen zoals Royal Canin en Amerikaanse ziekenhuizen.

Update 6 juli jl.

Op 4 juli jl. zijn gewapende leden van de Oekraïense anti-cybercrime unit het software ontwikkelingsbedrijf M.e.Doc binnengevallen en hebben daar servers in beslag genomen. Onderzoekers van ESET hebben een verborgen stuk code ontdekt in een update voor het boekhoudpakket van M.e.Doc dat op bijna 1 miljoen computers is geïnstalleerd. Hierdoor krijgen hackers toegang tot de geïnfecteerde computers via een achterdeur en zo toegang tot de bedrijfsnetwerken waar de software gebruikt wordt. 

M.e.Doc ontkende eerder dat haar systemen geïnfecteerd zijn, maar diverse bedrijven waaronder Microsoft wijzen M.e.Doc aan als bron voor de (Not)Petya aanval. De Oekraïense regering denkt erover een aanklacht tegen het bedrijf in te dienen. Grote delen van de publieke infrastructuur van Oekraïne zijn door de aanval getroffen enkele weken geleden. Het advies van de Oekraïense autoriteiten aan gebruikers van de M.e.Doc software is om de computers waarop de software staat tot nader order uit te zetten en wachtwoorden te wijzigen. Zij verdenken Rusland ervan achter de cyberaanval te zitten. 

Wat is er aan de hand?

Op het moment van schrijven is er onduidelijkheid over de exacte werking en is de naam veranderd in NonPetya omdat het toch niet om een variant van Petya lijkt te gaan.

In eerste instantie is aangenomen dat om een variant gaat van de WannaCry malware variant van mei jl., dus ook om hetzelfde verspreidingsmechanisme namelijk een kwetsbaarheid in SMB met het kenmerk CVE-2017-0144 waar in maart jl. al door Microsoft een patch voor is uitgebracht: MS17-010.

De laatste berichten duiden meer in de richting van een gehackt update mechanisme van het software huis van ME Doc uit de Oekraïne.

Impact

Het verschil in uitwerking met WannaCry is wel anders. (Non)Petya maakt gebruik van twee encryptielagen en past het Master Boot Record (MBR) van de computer aan. Na een reboot crash de computer en start niet meer normaal op. Er wordt dan een mededeling getoond dat de gehele computer versleuteld is en tegen betaling van $300 in Bitcoins weer vrijgegeven kan worden. Dit bedrag dient u per computer te betalen. De computer is vanaf dit moment onbruikbaar geworden en de data die er op staat niet meer benaderbaar.

Verspreiding en infectie

Er zijn verschillende varianten van verspreiding gemeld waaronder een variant die zich verspreid door een DLL-bestand dat door een ander proces aangeroepen moet worden waarna de versleuteling begint. NonPetya zoekt vervolgens naar andere systemen in het netwerk en kan via een slimme truck ook niet-kwetsbare systemen infecteren via het zogenaamde PSEXEC commando.

Wat kunt u doen?

Insign.it adviseert om verdachte e-mails en bijlages niet te openen en om ervoor te zorgen dat alle systemen up-to-date zijn, zodat (Non)Petya geen kans krijgt. Informeer ook uw gebruikers.

Een aantal virusscanners zoals ESET hebben updates uitgebracht om (Non)Petya te herkennen. Klanten van Insign.it die ESET gebruiken kunnen voor snellere detectie ESET LiveGrid inschakelen. Klanten die Palo Alto Networks Traps gebruiken waren al beschermd. Voor het firewall platform zal Palo Alto Networks zo snel als mogelijk signatures uitbrengen om de malware te herkennen.

Onlangs heeft Insign.it Manager en Security Consultant Leon Gubbels in zijn blog 'Cybersecurity. Waar begin ik?' een stuk gewijd aan de laatste bedreigingen in cybersecurity en wat te doen. 

Wat biedt Insign.it?

Het Security Operations Center (SOC) van Insign.it kan u helpen bij het in kaart brengen van systemen die nog niet voorzien zijn van de laatste security patches en ontbrekende configuraties. Ook als u hulp wenst bij de uitrol van een patch of als u meer wilt weten over de inzet van geavanceerde software ter voorkoming van infecties of security monitoring staan wij u graag te woord.