Petya Ransomware uitbraak is WannaCry, maar dan uitgevoerd door Pro’s

Een uitbraak van een bijzonder vervelende ransomware-familie houdt de hele wereld bezig. De uitbraak lijkt op de WannCry-epidemie van vorige maand, maar onderzoekers waarschuwen dat er dit keer professionals waardoor nog meer schade aangericht kan worden..

Auteur: Martijn
Datum: 28/06/2017
Leestijd: 3 Minuten

F-Secure Labs heeft bevestigd dat de gebruikte ransomware tot de Petya-familie behoort. Alleen dit keer gedraagt de ransomware zich als een netwerkworm, die zich via hetzelfde SMB-beveiligingslek verspreidt (met behulp van de EternalBlue-exploitatie die ontwikkeld werd door de NS)als WannaCry.

Jarkko van F-Secure Labs beschrijft Petya als ransomware met een evil twist; in een blogartikel dat hij in 2016 schreef. In plaats van alleen de bestanden te coderen pakt het de hele harde schijf aan, zodat deze onbruikbaar is tot de infectie verwijderd is.

De slachtoffers van Petya zagen waarschijnlijk zoiets op hun scherm:

De aanvalsvectorrvan de infectie is nog onbekend, maar het eindresultaat blijft gelijk.

De meeste crypto-ransomware-families richten zich op de bestanden op de harde schijf van het slachtoffer. Het slachtoffer heeft dan geen toegang meer tot die bestanden, maar ze kunnen nog steeds het besturingssysteem gebruiken. Petya gaat nog een stap verder en codeert delen van de harde schijf zelf, zodat deze onbruikbaar wordt en je Windows ook niet meer kunt gebruiken.

Technisch gebeurt er het volgende:

  • Het schadelijke bestand wordt uitgevoerd.
  • Een taak wordt ingepland om de geïnfecteerde machine na een uur te herstarten (ziet er zo uit).
  • Gedurende dit uur zoekt Petya nieuwe slachtoffers binnen het geïnfecteerde netwerkNa het verzamelen van IP-adressen om te infecteren, maakt Petya misbruik van het SMB-lek om een kopie van zichzelf te maken op het volgende doelwit.
  • Na de herstart start de encryptie en wordt er een random boodschap getoond.

De uitbraak treft organisaties over de hele wereld, waaronder Frankrijk, India, Spanje, het Verenigd Koninkrijk, de VS, Rusland en nog veel verder. En net als WannaCry, richt het zich op systemen waar mensen afhankelijk van zijn, zoals geldautomaaten in de Oekraïne.

Bij WannaCry was het een slimme security researcher die de “kill switch” om de verspreiding te stoppen in de slordige codering vond. F-Secure Security Advisor Sean Sullivan verwacht niet dat de makers van Petya zo slordig zijn geweest.

“De WannaCry aanval is mislukt omdat de makers niet voorbereid waren op het grote aantal slachtoffers. Die konden ze niet verwerken. Petya komt veel professioneler over en waarschijnlijk zitten de makers klaar om te cashen.” zegt Sean. “De amateurs hebben plaats gemaakt voor de grote jongens als het gaat om ransomware aanvallen.”

Een gijzeling kost zo’n $300 in Bitcoins. Bijna 30 slachtoffers hebben de aanvallers betaald om hun machines te laten ontgrendelen (er is nog geen bevestiging of dit gelukt is). Blijkbaar is het e-mailadres van de aanvallers geblokkeerd, maar Sean geeft aan dat er genoeg redenen zijn om deze op te heffen.

Organisaties moeten de komende dagen oppassen voor Petya-infecties. Door de overeenkomsten met WannaCry geldt hier ook hetzelfde advies: update Windows, configureer de firewall om inkomend verkeer over poort 445 te blokkeren en gebruik endpointbeveiliging. F-Secure producten hebben verschillende maatregelen ingebouwd om klanten te beschermen tegen Petya en andere soorten ransomware.

Download hieronder de proefversies van onze producten en ervaar de voordelen van een goede bescherming:

Wij zitten bovenop de ontwikkelingen en delen regelmatig updates. Je kunt ook de tweets van Mikko Hyppönen, onze Chief Research Officer volgen om op de hoogte te blijven.

Opmerking: Onderzoekers hebben bevestigd dat er extra infectievectoren zijn sinds de gepubliceerd van dit artikel. Meer informatie over andere infectievectoren vind je hier.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s