Een uitbraak van de familie Petya ransomware raakte dinsdag bedrijven in meer dan 60 landen. De omvang van de aanval en de uitvoering ervan lijken erg op de WannaCry pandemie van vorige maand.
En hoewel er overeenkomsten zijn, zijn er ook belangrijke verschillen die bedrijven moeten kennen om zichzelf te kunnen beschermen.
Petya gebruikt jouw eigen inloggegevens tegen je
Een van de technieken die Petya gebruikt om zichzelf te verspreiden is door toegang te krijgen tot administratieve login credentials. Zodra Petya deze gegevens heeft kan het zichzelf van machine naar machine verspreiden via standaard Windows-functionaliteiten.
Oplossing: Volgens onderzoeker Jarno Niemelä van F-Secure Labs is het verstandig om voorzichtig om te springen met de wachtwoorden voor het beheer. In ieder geval tot de juiste maatregelen zijn getroffen.
“Bedrijven die denken besmet te zijn, moeten medewerkers instrueren om niet met domain admin credentials in te loggen op een workstation.” zegt Jarno. “als je dat wel doet, herstart dan het systeem als je klaar bent met de taak. Organisaties moeten ervoor zorgen dat alle workstations beveiligd zijn met unieke wachtwoorden voor die accounts.”
Petya verspreidt zich niet alleen via de SMB exploit
EternalBlue is een door de NSA ontwikkelde exploit die gebruik maakt van een beveiligingslek in het SMB-protocol. Dit lek is aanwezig in de meeste versies van Windows. Er is een patch beschikbaar, en uiteraard moeten bedrijven deze onmiddellijk uitvoeren als ze dit nog niet hebben gedaan.
Maar het is duidelijk geworden dat de huidige Petya-uitbraak extra manieren heeft om zich te verspreiden. Het patchen van de SMB-kwetsbaarheid die door WannaCry wordt gebruikt, is niet voldoende om te voorkomen dat de infectie zich verspreidt.
De andere infectievectoren omvatten het gebruik van legitieme Windows-processen. Het probeert de ransomware specifiek uit te voeren via PSEXEC en WMIC; twee Windows administratie tools. Dit doet zij met behulp van de administrative login credentials (zoals hierboven beschreven).
Oplossing: Volgens F-Secure Principal Security Consultant Tom Van de Wiele zijn er verschillende stappen te zetten om de verspreiding tegen te gaan:
het bestand C:\windows\perfc en schakel lees- / schrijfrechten uit voor alle Windows-machines. Petya stopt de aanval als het dit bestand tegenkomt.
- Maak een sleutel met de naam “psexec.exe” aan in de optie “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Execution Options” en maak vervolgens een REG_SZ-waarde genaamd “Debugger” en verwijs het naar “svchost.exe”. Op deze manier zal de echte .psexec niet starten.
- Schakel het gebruik van lokale AD / GPO accounts voor remote logins uit om de psexec / wmic combinatie uit te schakelen
- Schakel WMIC uit waar mogelijk in Windows
- Firewall inkomende verzoeken naar 135 / tcp (winrpc) voor de wmic-verzoeken
- Firewall inkomende verzoeken naar 445 / tcp (cifs) voor de inkomende Eternalblue-verzoeken. Als het goed is, is dit al gebeurd na WannaCry.
De aanval lijkt een vendor supply chain aanval
Het wordt steeds duidelijker hoe Petya zich door netwerken beweegt. Maar het is nog niet helemaal duidelijk hoe de eerste infectie ontstaat. Er zijn nu rapporten die suggereren dat de eerste infecties afkomstig zijn uit een kwaadaardige software update van boekhoudsoftware M.E.Doc uit de Oekraïne.
Dit zou betekenen dat de leverancier hun systemen besmet had, of dat de aanvallers de klanten van de leverancier besmet heeft via een ‘man-in-the-middle’ aanval.
“Supply chain vendor aanvallen vinden plaats door een specifieke groep klanten te targetten via een systeem dat ze gebruiken.” zegt F-Secure Technology Expert Andy Patel. “ Via deze ‘semi-doelgerichte’ aanvallen worden meerdere bedrijven met één aanval het doelwit. In het geval van de Petya-aanval op organisaties in de Oekraïne, weten we niet of de M.E.Docs infrastructuur doorbroken is, of dat de updates via een man-in-the-middle aanval verspreid zijn.
Daarnaast verklaart de vendor supply chain aanval niet hoe Petya zichzelf zo snel over de wereld heeft verspreid. Het is wel duidelijk dat weinig bedrijven voorbereid waren op een dergelijke aanval. En dat is duidelijk een probleem dat bedrijven aan moeten pakken.
Oplossing: We weten niet hoe er getarget wordt, dat maakt het moeilijk om een aanval te zien. De beste verdediging is het hebben van een breach-detection systeem. F-Secure’s Rapid Detection Service bijvoorbeeld detecteert elk afwijkend gedrag van bestanden op het netwerk.
Veel beveiligingsoplossingen, waaronder die van F-Secure, bieden organisaties een arsenaal aan manieren om zichzelf te verdedigen tegen verschillende bedreigingen. Lees dit artikel over Petya voor meer informatie.
Categorieën