De wereld in gijzeling

Gepubliceerd door Henk-Jan Angerman op

Grootse ransomware uitbraak maakt veel slachtoffers

De grote kranten, het NOS journaal, de online media – in de afgelopen 24 uur berichtten zij allemaal over nieuws dat normaliter de koppen niet haalt. De IT-beveiliging van bedrijven schiet tekort en computersystemen over de gehele wereld zijn besmet geraakt met ‘gijzelsoftware’ (misschien wel het nieuwe woord van het jaar na ‘sjoemelsoftware’?), hele bedrijven liggen plat en de schade is groot. Ransomware is inmiddels voor een groot deel van Nederland geen vreemd woord meer, maar nu ook grote en bekende bedrijven hiervan in Nederland het slachtoffer zijn geworden beginnen mensen zich zorgen te maken. U ook?

Ransomware is inderdaad een zeer gevaarlijke vorm van malware die momenteel opvallend succesvol is en veel van de huidige beveiligingsmethodes lijkt te weten omzeilen. Maar ook eentje die slim gebruik maakt van het feit dat niet iedere computer altijd up-to-date is. Het risico van iedere succesvolle ransomware-besmetting is ook heel groot: van enkele bestanden tot alles op een computer inclusief Windows, gegevens op een server of NAS, Dropbox, GoogleDrive etc. is totaal onbruikbaar en ontoegankelijk geworden zonder dat eerst de losprijs wordt voldaan. Echte ransomware geeft na betaling de gegevens veelal weer vrij, maar de code achter deze aanval is zodanig dat dit nu ernstig in twijfel wordt gebracht. En na betaling loopt men het risico een volgende keer een eerste doelwit kan zijn van een nieuwe aanval.

Allereerst is het goed om te kijken naar deze laatste uitbraak; is er sprake van een wereldwijde aanval, is deze nieuwste ransomware uitbraak baanbrekend en is dit het begin van meer (en erger)?

Het begon op dinsdag 27 juni 2017 in de Oekraïne, waar zowel de centrale bank, overheidsinstanties, uiteenlopende bedrijven en privé gebruikers als eerste op grote schaal werden besmet met een blijkbaar nieuwe vorm van ransomware. Alle computers waren versleuteld en onbruikbaar; een deel van het openbare leven kwam tot stilstand. Daarna kwamen meldingen uit andere delen van Europa en Amerika die ook te maken kregen van besmette computersystemen en de gevolgen daarvan. Spanje, Frankrijk, Engeland en ook in Nederland ondervonden bedrijven de gevolgen. Op de Maasvlakte stonden hele vrachtterminals stil als gevolg, een groot bouwbedrijf ligt helemaal stil en ook de leveringen van een groot koeriersbedrijf ondervinden hinder.

IT securitybedrijven hebben de nieuwe ransomware besmetting de naam Petya (of PetrWrap, GoldenEye) gegeven en aangegeven dat bepaalde onderdelen overeenkomen op eerdere ransomware varianten. Petya maakt ook gebruik van het feit dat computers vaak niet up-to-date zijn en via een bekend Windows-lek kunnen worden besmet. Dit lek, de EternalBlue-exploit genaamd, maakt het tevens mogelijk dat één computer andere computers binnen het netwerk besmet en zodoende achter de firewall zijn kwaad verricht.

Petya probeert echter ook via al aanwezige admin-tools het beheer van andere computers over te nemen om hiermee andere computers te infecteren met de ransomware. Verschillende onderzoekers hebben inmiddels een aantal bijzonderheden in deze versie ransomware gevonden, waarmee een besmetting binnen een netwerkomgeving op verschillende manieren snel en effectief wordt uitgevoerd. Een volledige identificatie van Petya is nog niet afgerond.

Op dit moment weten we dat infectie kan gebeuren via het smb-protocol, wat open van en naar het internet moet staan (geen best-practice! Blokkeer SMB poorten altijd) of via e-mail met een bijlage zoals “inmyguy.xls.hta", welke na het openen zichzelf uitpakt via [% APPDATA%] \ 10807.exe. Een derde aanvalsvector is een mail met de bijlage “Order-20062017.doc“, welke de CVE-2017-0199 (CVSS score: 9.3) kwetsbaarheid misbruikt, deze download een bestand vanaf http://84.200.16 [.] 242 / myguy.xls (code is aangepast ter bescherming). De malware zal zich dan op het systeem nestelen via bekende exploits en het gebruik van tools van SysInternals en Mimikatz faciliteren voor distributie en het stelen van (domein) login gegevens uit de LSASS.exe service. Tevens zal het de LokiBOT malware droppen op het systeem, deze malware zal trachten privégegevens te stelen en via een HTTP POST naar een command en control center sturen. Denk aan wachtwoorden, login informatie van web browsers en diverse crypto wallets (bitcoin ea).

Hierna versleuteld het bestanden en het file-index (ntfs) systeem. Na 10 tot 60 minuten zal het systeem door een geforceerde crash rebooten en onderstaand scherm tonen:   

Petya Ransomware crypto screen

En nu, maar gewoon maar afwachten totdat ik aan de beurt ben?

Om besmetting met deze, maar ook toekomstige aanvallen van ransomware effectief te voorkomen zijn enkele hele simpele, maar wel belangrijke spelregels van belang:

  1. Zorg er voor dat alle systeemsoftware altijd up-to-date is (Windows, applicaties, tools, etc.), met name de volgende kritische updates:
    a. Microsoft Security Update voor Windows SMB Server (MS17-010)
    b. Beveiligingsupdate voor het Microsoft Office-beveiligingslek (MS2017-0199)

  2. Zorg voor een goede en altijd up-to-date antimalware bescherming zowel aan de rand van het netwerk (UTM-firewall) als op de endpoint (pc en server), eventueel aangevuld met specifieke anti-ransomware software.

  3. Zorg voor regelmatige backups van belangrijke gegevens en bewaar deze op een externe locatie. Systeemsoftware kan opnieuw worden geïnstalleerd, persoonlijke of bedrijfsgegevens zijn onvervangbaar.

  4. Denk goed (beter) na bij het gebruik van e-mail en internet m.b.t. verdachte berichten en websites, ingesloten links naar websites, gebruik van gevoelige data.

  5. Blokkeer het gebruik van de Microsoft PsExec tool dat als een standaard onderdeel van de SysInternal Suite wordt geleverd die door veel beheerders wordt gebruikt voor uiteenlopende beheertaken.

  6. Voorkom het ontvangen van bestanden die macro’s of andere onderdelen bevatten die een activiteit of proces kunnen starten.

Het resultaat van deze nieuwe ransomware-besmetting, de snelheid waarmee systemen en organisaties over de gehele wereld zijn beïnvloed en het effect ervan op de samenleving geven duidelijk aan dat IT een ‘bedrijfskritische’ rol speelt, maar ook dat de perceptie hiervan en de beveiliging nog te wensen overlaten. Een beter begrip van beide factoren moet leiden tot een minder grote impact van dit soort aanvallen, al blijft het gevaar nooit geheel uit te sluiten. Goede UTM-firewalls, zoals WatchGuard, beschermen al direct op de internetaansluiting tegen deze vormen van malware en ransomware, zodat alle achterliggende computersystemen veilig zijn. Beveiliging van de pc en server endpoints zoals met ESET endpoint security advanced blijven echter een onmisbare schakel voor totale bescherming. 

Kijk tevens eens naar deze checklist:

Your anti ransomware checklist petya

Neem contact op met Secure Cyber Communications voor een passende aanbieding om uw netwerk te vrijwaren van alle malware en ransomware gevaren. De combinatie van een WatchGuard UTM-firewall bij de voordeur en ESET endpoint security advanced op de werkstations en servers zorgen voor een probleemloze en veilige netwerkomgeving en beschermen uw kostbare bedrijfsgegevens.


Oudere posts Nieuwere posts


Scroll To Top