Naar inhoud gaan

Trending thema's

Petya Ransomware uitbraak is WannaCry, maar dan uitgevoerd door Pro’s

Martijn

28.06.17 3 min. lezen

F-Secure Labs heeft bevestigd dat de gebruikte ransomware tot de Petya-familie behoort. Alleen dit keer gedraagt de ransomware zich als een netwerkworm, die zich via hetzelfde SMB-beveiligingslek verspreidt (met behulp van de EternalBlue-exploitatie die ontwikkeld werd door de NS)als WannaCry.

Jarkko van F-Secure Labs beschrijft Petya als ransomware met een evil twist; in een blogartikel dat hij in 2016 schreef. In plaats van alleen de bestanden te coderen pakt het de hele harde schijf aan, zodat deze onbruikbaar is tot de infectie verwijderd is.

De slachtoffers van Petya zagen waarschijnlijk zoiets op hun scherm:

De aanvalsvectorrvan de infectie is nog onbekend, maar het eindresultaat blijft gelijk.

De meeste crypto-ransomware-families richten zich op de bestanden op de harde schijf van het slachtoffer. Het slachtoffer heeft dan geen toegang meer tot die bestanden, maar ze kunnen nog steeds het besturingssysteem gebruiken. Petya gaat nog een stap verder en codeert delen van de harde schijf zelf, zodat deze onbruikbaar wordt en je Windows ook niet meer kunt gebruiken.

Technisch gebeurt er het volgende:

  • Het schadelijke bestand wordt uitgevoerd.
  • Een taak wordt ingepland om de geïnfecteerde machine na een uur te herstarten (ziet er zo uit).
  • Gedurende dit uur zoekt Petya nieuwe slachtoffers binnen het geïnfecteerde netwerkNa het verzamelen van IP-adressen om te infecteren, maakt Petya misbruik van het SMB-lek om een kopie van zichzelf te maken op het volgende doelwit.
  • Na de herstart start de encryptie en wordt er een random boodschap getoond.

De uitbraak treft organisaties over de hele wereld, waaronder Frankrijk, India, Spanje, het Verenigd Koninkrijk, de VS, Rusland en nog veel verder. En net als WannaCry, richt het zich op systemen waar mensen afhankelijk van zijn, zoals geldautomaaten in de Oekraïne.

Bij WannaCry was het een slimme security researcher die de “kill switch” om de verspreiding te stoppen in de slordige codering vond. F-Secure Security Advisor Sean Sullivan verwacht niet dat de makers van Petya zo slordig zijn geweest.

“De WannaCry aanval is mislukt omdat de makers niet voorbereid waren op het grote aantal slachtoffers. Die konden ze niet verwerken. Petya komt veel professioneler over en waarschijnlijk zitten de makers klaar om te cashen.” zegt Sean. “De amateurs hebben plaats gemaakt voor de grote jongens als het gaat om ransomware aanvallen.”

Een gijzeling kost zo’n $300 in Bitcoins. Bijna 30 slachtoffers hebben de aanvallers betaald om hun machines te laten ontgrendelen (er is nog geen bevestiging of dit gelukt is). Blijkbaar is het e-mailadres van de aanvallers geblokkeerd, maar Sean geeft aan dat er genoeg redenen zijn om deze op te heffen.

Organisaties moeten de komende dagen oppassen voor Petya-infecties. Door de overeenkomsten met WannaCry geldt hier ook hetzelfde advies: update Windows, configureer de firewall om inkomend verkeer over poort 445 te blokkeren en gebruik endpointbeveiliging. F-Secure producten hebben verschillende maatregelen ingebouwd om klanten te beschermen tegen Petya en andere soorten ransomware.

Download hieronder de proefversies van onze producten en ervaar de voordelen van een goede bescherming:

Wij zitten bovenop de ontwikkelingen en delen regelmatig updates. Je kunt ook de tweets van Mikko Hyppönen, onze Chief Research Officer volgen om op de hoogte te blijven.

Opmerking: Onderzoekers hebben bevestigd dat er extra infectievectoren zijn sinds de gepubliceerd van dit artikel. Meer informatie over andere infectievectoren vind je hier.

Martijn

28.06.17 3 min. lezen

Categorieën

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Verwante berichten

Newsletter modal

Gefeliciteerd – Je kunt de content nu bekijken door op onderstaande button te klikken.

Gated Content modal

Bedankt voor je interesse in de cybersecurity update. Je ontvangt binnen enkele momenten een e-mail om je inschrijving te bevestigen.