Wederom een wereldwijde uitbraak van gijzelsoftware: status en informatie

Nieuwe versie gijzelsoftware

Sinds dinsdag 27 juni 2017 is er wederom een wereldwijde uitbraak gezien van een nieuwe versie gijzelsoftware. Energiemaatschappijen in de Oekraïne, de haven van Rotterdam, Medicijnfabrikant MSD en APM Maersk zijn maar een greep van de huidige slachtoffers. Wereldwijd zijn onderzoekers nog druk bezig met de hele analyse om er precies achter te komen wat de uitbraak precies inhoudt, wat het doet en hoe het te stoppen is. Ook over de initiële uitbraak zijn nog erg veel onbevestigde berichten.

Update 6 juli: Voor het laatste nieuws over de uitbraak verwijzen wij u door naar de website van McAfee.

https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/ 

Wat schrijven onafhankelijke bronnen?

De volgende informatie is gebaseerd op een aantal onafhankelijke bronnen op internet:

Er is veel onduidelijkheid over hoe de nieuwe Petya variant bij bedrijven binnenkomt. Dinsdag 20 juni is de uitbraak voor het eerst gezien in de Oekraïne. Daar lijkt de aanval begonnen te zijn met het kraken van accountingssoftware M.E.Doc, dat in verschillende Oekraïense industrieën gebruikt wordt. Door het kraken van deze software, welke een automatische updatefunctie in zich heeft, lijken de eerste slachtoffers te zijn ontstaan. Vanuit deze infecties is duidelijk geworden dat dezelfde zwakheid wordt gebruikt als bij de eerder geziene WanaCry uitbraak, namelijk EternalBlue, waarvoor Microsoft MS17-010 heeft uitgebracht. Dit is echter niet de enige manier die gebruikt wordt. Onderzoekers zien momenteel 3 manieren waarop de malware zich verspreidt:

• Petya scant het locale /24 segment om ADMIN$ shares te ontdekken. Hierna kopieert de malware zichzelf op de betreffende host en start zichzelf middels PSEXEC.

• Petya gebruikt Windows Management Instrumentation Command-line (WMIC) tool om naar andere hosts te connecteren en die te infecteren.

• Als laatste probeert Petya zich middels de eerder geziene WanaCry zwakheid (EternalBlue) te verspreiden naar andere hosts in het netwerk. Wanneer een machine nog niet de MS17-010 patch heeft, lukt het om de malware te installeren.

En nu?

Er wordt op dit moment gesproken van een mogelijke kill switch waarmee een mogelijk infectie lijkt voorkomen te kunnen worden door het plaatsen van een bestand in de Windows directory. "To vaccinate your computer so that you are nable to get infected with the current strain of NotPetya/Petya/Petna (yeah, this naming is annoying), simply create a file called perfc in the C:\Windows folder and make it read only. For those who want a quick and easy way to perform this task, Lawrence Abrams has created a batch file that performs this step for you. This batch file can be found at: https://download.bleepingcomputer.com/bats/nopetyavac.bat." Malware analysten moeten dit nog bevestigen.

Losgeld betalen is momenteel niet aan te raden. De Duitse e-mailprovider Posteo heeft het e-mailaccount afgesloten dat gebruikt werd door een van de hackers achter de gijzelsoftware. Dat betekent dat slachtoffers van de aanval die de 300 dollar betalen om de gijzeling van hun computer ongedaan te maken, mogelijk alsnog met lege handen staan. De slachtoffers wordt gevraagd een bevestiging van de betaling te sturen naar het, nu door Posteo geblokkeerde, e-mailadres. "We tolereren geen enkel misbruik van ons platform", schrijft Posteo op zijn website ter verklaring van de actie.

Wat doet Simac?

Ondertussen heeft onder andere McAfee de herkenning van Petya opgenomen binnen McAfee Global threat Intelligence en een extra-DAT vrij gegeven. Bedrijven als Cisco en Fortinet hebben allemaal gelijksoortige acties ondernomen om haar klanten te beschermen. Tijdens de laatste WanaCry uitbraak heeft Simac diverse acties uitgevoerd, waaronder patching om haar klanten te beschermen. Aangezien nu in ieder geval ook de EternalBlue exploit wordt gebruikt, helpen de eerder uitgevoerde acties in de bescherming tegen deze uitbraak. Op dit moment heeft Simac nog geen uibraak van Petya bij haar klanten geconstateerd. De medewerkers van het Security Operations Center monitoren de situatie continue. Wanneer er belangrijke updates zijn omtrent de uitbraak, zal Simac deze zo snel mogelijk publiceren.

Voor meer inhoudelijke informatie over de analyse, kunt u de onderstaande pagina's van McAfee en Cisco bezoeken.

• https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/ 

• http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

Meer informatie?

Voor meer informatie kunt u ons e-book: 'Wat iedere IT manager moet weten over moderne cybercriminaliteit' downloaden of contact met Simac opnemen.