Column


#petya

‘Dooft Petya uit?’

Wat is hot en trending op Twitter? In deze rubriek brengt SecurityVandaag in kaart wat het ‘beveiligingssentiment’ in deze digitale kletshoek is. Deze week uiteraard aandacht voor het Petya-virus. Twitter bood een aardig inkijkje in hoe de aanval zich ontwikkelde, en hoe beetje bij beetje meer bekend werd over de werkwijze van de aanvallers en de mogelijke motieven.

“Opgelet voor het Petya-cryptolockervirus. Zorgt ervoor dat je totale harddisk geëncrypteerd wordt”, zo waarschuwde @AllBuro. Maar ja, dat deed deze twitteraar in april 2016 en iedereen was deze tweet natuurlijk al lang weer vergeten toen dinsdag Petya (of ‘NotPetya’) mondiaal toesloeg. Volgens @RichardLamb regelrechte ‘cyberwar’ waarbij wederom gebruik wordt gemaakt van de EternalBlue-exploit en de kwetsbaarheid MS17-010 in Microsoft Windows. “Zoiets als bij WannaCry.”

Waar WannaCry Nederland relatief ongemoeid liet, trok Petya vanuit Oekraïne al snel op naar de Lage Landen. @WINMAG_Pro haalde cijfers van ESET aan waaruit blijkt dat Nederland zelfs in de top 5 van getroffen landen staat. Meerdere grote bedrijven hadden last van de ransomware. Volgens @FlowsInfo waren er door de cyberaanval 100.000 pakjes gestrand bij TNT/FedEx in Luik. @transport online meldde een dag na de massale uitbraak dat de containerterminals van APM nog altijd dicht waren.

Live blog
Wat was er aan de hand? “Nieuwe ransomware gijzelt niet alleen belangrijke documenten, maar ook delen van de harde schijf”, zo meldde @MotivNL. Opheffen van de gijzeling lijkt niet mogelijk. Daarvoor is e-mailcommunicatie met de gijzelnemers noodzakelijk, maar de mailbox van de criminelen werd al snel geblokkeerd door de desbetreffende e-mailprovider.

ICT-securityspecialist Motiv hield op zijn website ook een ‘live blog’ bij over de ontwikkelingen rondom Petya. Dit verslag geeft onder andere antwoord op hoe de ransomware zich zo snel kon verspreiden. “De initiële aanvalsvector die heeft geleid tot de verspreiding van de ransomware lijkt een updatemechanisme van een softwareproduct van de Oekraïense fabrikant MeDoc te zijn.”

“In tegenstelling tot eerdere berichtgeving lijkt e-mail (phishing) als (initiële) aanvalsvector nu onzeker”, zo vervolgden de Motiv-auteurs. “Voor de verspreiding zou de ransomware naast Server Message Block (SMB) volgens sommige bronnen ook gebruikmaken van Remote Desktop Protocol (RDP). Eenmaal binnen behoren vervolgens ook WMI(C) en PsExec tot de methoden voor de verdere verspreiding via interne netwerken. Daarom wordt naast patching, netwerksegmentering, monitoring en onderschepping van SMB (v1) en RDP, ook de controle en beperking van het gebruik van ‘local administrator’-accounts binnen Windows-domeinen aanbevolen.”

“Het wachten is eigenlijk toch een beetje op een sample in de hoop dat er een killswitch a la WannaCry in zit”, zo merkte @LoranKloeze al snel op. Die killswitch bleef uit. Wel dook er een ‘vaccin’ op, volgens @damiaanvanvliet ‘in de vorm van nep-bestand in de Windows-directory. De werking van dit vaccin was op Twitter echter een punt van discussie.

Rusland?
Ondertussen brandde ook de onvermijdelijke ‘wie-heeft-het-gedaandiscussie’ los. Die discussie werd nog eens extra gevoed door het vermoeden dat het de aanvallers niet om geld te doen is. Wie @petya_payments volgt, ziet dat het niet storm loopt met betalingen. “Is Petya wel ransomware, of is het wipermalware?”, vroeg @ProcyonNetworks. Volgens deze twitteraar bevestigen steeds meer signalen dat het om een wiper gaat, ‘wat veel erger is’.

“Waarschijnlijk is deze ransomware niet verspreid door criminelen, maar door een staat”, concludeerde @Matthijs85. Volgens @huibmodderkolk weten ze het in Oekraïne al zeker: “Petya is een digitale aanval van Rusland.”

Tips voor bescherming
Hebben we nu het ergste gehad? @certbe meldt dat er geen nieuwe meldingen meer binnenkomen. “Dooft Petya uit?” @SecurityVandaag durft die vraag nog niet met een ‘ja’ te beantwoorden, en verwijst liever naar de tips die Motiv geeft om besmetting te voorkomen of de schade te beperken:

  1. Patch zo snel mogelijk alle systemen die kwetsbaar zijn voor MS17-010 en CVE-2017-0199.
  2. Schakel het SMBv1-protocol zo snel mogelijk uit en maak gebruik van de nieuwe versie.
  3. Zorg ervoor dat systemen niet direct vanaf het internet benaderbaar zijn via SMBv1 (tcp/445).
  4. Blokkeer inkomende e-mailberichten met versleutelde bijlagen, of bijlagen met scripting (macro’s).
  5. Installeer de laatste signatures op uw Intrusion Prevention Systeem en zet deze signatures op ‘block’ mode.

Lees meer over