Petya ransomware uitbraak bewijst dat WannaCry nog maar het begin was

F-Secure stopt nieuwe ransomware, die zich net zo verspreidt als de WannaCry uitbraak in mei. Dit keer hebben we wel met professionals te maken.

Auteur: Martijn
Datum: 28/06/2017
Leestijd: 4 Minuten

Het energie-distributienet van Oekraïne, één van ’s werelds grootste snackfabrikanten en zelfs Tsjernobyl’s systemen om straling te monitoren behoorden tot de honderden organisaties over de hele wereld die op dinsdag een Petya ransomware infectie meldden.

Hoewel de aanvalsvector van de aanval nog niet geïdentificeerd is, zien we dat er gebruik is gemaakt van de EternalBlue exploit die Microsoft in maart patchte. Deze exploit, geïdentificeerd door de NSA en vrijgegeven door hackersgroep Shadowbrokers, kwam in mei groot in het nieuws door WannaCry,

F-Secure Labs waarschuwt al jaren voor criminelen die wapens maken van gelekte surveillance tools van overheden. Helaas zijn deze waarschuwingen nu de realiteit waar organisaties de komende jaren mee te maken hebben.

WannaCry bleek een interessant businessmodel voor criminelen. Ransomware die zich verspreidt als een worm via het netwerk kan in één keer veel gegevens gijzelen. Organisaties zijn bereid om hier veel geld voor te betalen. De schade van WannaCry bleef gelukkig beperkt, door de slordige codering. Een malware researcher vond, tijdens zijn vakantie, een kill switch in de code en activeerde deze op tijd.

Nu lijkt het erop dat Petya een professionele poging doet met soortgelijke methoden.

“Zo ziet WannaCry eruit als het gemaakt wordt door de grote jongens, ” zegt Sean Sullivan, F-Secure Security Advisor. “De amateurs hebben de laatste keer veel mensen geïnfecteerd. Dit keer komen de grote jongens om te cashen.”

In tegenstelling tot andere ransomware heeft Petya een “evil twist”. De ransomware encrypt delen van de harde schijf, waardoor Windows ontoegankelijk wordt. De Petya-familie gaat al meer dan een jaar rond, maar nog niet eerder was er een versie die zich verspreidt via het netwerk.

Vanmorgen was er al meer dan $9.000 aan Bitcoins betaald volgens dit Twitter account.

Nu het goede nieuws: F-Secure stopt de nieuwe Petya variant

Onze endpoint producten stoppen alle vormen van de bedreiging. Daarnaast houdt de F-Secure vulnerability management oplossing de kwetsbaarheden in de gaten. Uiteindelijk detecteert de F-Secure managed response service de aanval en komt onmiddellijk in actie.

F-Secure endpoint producten bieden bescherming tegen Petya ransomware op meerdere lagen, zodat de aanval op verschillende momenten in het proces gestopt kan worden.

  • F-Secure’s geïntegreerde patchmanagementfunctie, Software Updater, voorkomt dat de nieuwe Petya ransomware-variant het EnternalBlue-beveiligingslek kan gebruiken door de bijbehorende beveiligingspatches automatisch uit te voeren.
  • F-Secure’s Security Cloud-functionaliteit detecteert en blokkeert het DLL-bestand dat de ransomware gebruikt.
  • F-Secure’s Anti-Malware engine detecteert en stopt de bedreiging via meerdere aanvullende signature detecties.
  • F-Secure’s standaard firewall instellingen verhinderen dat de Petya-aanval zijdelings in de omgeving verspreidt en bestanden versleutelt.

F-Secure’s vulnerability manager, F-Secure Radar, wijst op de ontbrekende beveiligingspatch van Microsoft en de kwetsbare 445-poort, zodat IT-beheerders direct in actie kunnen komen. Zo zijn ze voorbereid op een mogelijke aanval.

F-Secure’s managed incident response service, F-Secure Rapid Detection Service, detecteert een groot aantal van de TTP-technieken die Petya gebruikt, zoals het misbruiken van rundll-32 en andere Microsoft-componenten. Hierdoor kunnen F-Secure klanten meteen actie ondernemen als een infectie gedetecteerd wordt.

Download hieronder de proefversies van onze producten en ervaar de voordelen van een goede bescherming:

Wat moet je doen?

F-Secure endpoint producten blokkeren de Petya aanvallen met de standaardinstellingen. Het is echter goed om te controleren of alle beveiligingsfuncties zijn ingeschakeld. Daarnaast moet je stappen ondernemen om het geactiveerde beveiligingslek te beperken en te voorkomen dat de aanval zich verder verspreidt.

  1. Zorg ervoor dat DeepGuard en real-time bescherming op alle endpoints is ingeschakeld.
  2. Zorg ervoor dat F-Secure Real-time Protection Network is ingeschakeld.
  3. Zorg ervoor dat F-Secure beveiligingsprogramma de laatste database update gebruikt.
  4. Identificeer endpoints zonder de Microsoft-patches (4013389) met Software Updater of andere beschikbare gereedschappen en patch deze direct.
    1. MS17010 toepassen op Windows Vista en later (Windows Server 2008 en later).
    2. Microsoft-patch toepassen op Windows XP of Windows Server 2003.
    3. Lukt het niet om direct te patchen? Dan raden wij aan om SMBv1 uit te schakelen met de stappen die zijn beschreven in Microsoft Knowledge Base artikel 2696547 om het aanvalsoppervlak te verminderen.
  5. Zorg ervoor dat F-Secure Firewall is ingeschakeld in de standaardinstellingen. Je kunt de firewall ook configureren om 445 in- and outbound traffic binnen de organisatie te blokkeren. Zo voorkom je dat het zich verder verspreidt.

Wat moet je doen als je geïnfecteerd bent?

  1. Wijzig alle rechten om interne bestanden in te zien op netwerklocaties naar read-only OF koppel alle belangrijke netwerklocaties los van het netwerk om eventuele infecties te beperken waar het niet mogelijk is om read-only rechten toe te wijzen.
  2. Controleer de activiteiten op het netwerk, om te kijken waar ineens veel en onverklaarbare activiteit is op het netwerk.
  3. Neem contact op met de partij die de systemen beheert en laat ze weten dat er een noodpatch kan komen. Plan ook direct een service moment, met alle tests die nodig zijn na het patchen.

Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s