Wereldwijde uitbraak Petya-ransomware: Een overzicht

[Captain Kirk]

Op dinsdag 27 juni, ongeveer zes weken na de uitbraak van de WannaCry-ransomware, werden bedrijven wereldwijd opnieuw getroffen door een grootschalige ransomware-uitbraak. Dit keer gaat het om een ransomware-exemplaar dat Petya, GoldenEye, ExPetr en ook NotPetya wordt genoemd. In dit artikel geeft Security.NL een overzicht van de tot nu toe bekende informatie.

Wat doet de ransomware?

In tegenstelling tot WannaCry die alleen bepaalde bestanden versleutelde, versleutelt Petya zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Daarnaast probeert de ransomware zich verder op het netwerk te verspreiden.

Hoe verspreidt de ransomware zich?

Het lijkt om een combinatie van aanvalsmethodes te gaan. Verschillende securitybedrijven en onderzoekers stellen dat de ransomware als eerste werd verspreid via de updatefunctie van de boekhoudsoftware M.E.Doc. De software is door een Oekraïens softwarebedrijf ontwikkeld en is in het land erg populair, maar wordt ook daar buiten gebruikt. Op de eigen website bevestigt M.E.Doc dat de updateservers zijn gehackt en gebruikt voor de aanval, maar op Facebook wordt het ontkend. De Oekraïense politie laat op Twitter echter weten dat de updatefunctie voor de aanval is gebruikt. Ook verschillende andere securitybedrijven stellen dit. Volgens securitybedrijf FireEye komt de timing van een update die gisteren via de servers van M.E.Doc is uitgerold overeen met de meldingen van de ransomware.

De ransomware maakt daarnaast gebruik van beveiligingslekken in de SMB-dienst van Windows die op 14 maart dit jaar door Microsoft werden gepatcht. Het gaat om dezelfde kwetsbaarheid die ook door WannaCry werd aangevallen, alsmede een lek dat in Windows XP tot en met Windows Server 2008 aanwezig is. Voor de aanvallen worden twee exploits gebruikt die bij de NSA zijn gestolen, de EternalBlue- en EternalRomance-exploit.

Tevens wordt er een soort Mimikatz-achtige tool gebruikt voor het stelen van inloggegevens uit het lsass.exe-proces. Deze gestolen inloggegevens worden vervolgens door de PsExec-tool of WMIC gebruikt om de ransomware binnen een netwerk te verspreiden. PsExec is een tool van Microsoft om processen op andere systemen uit te voeren. Mogelijk dat de ransomware vanaf locaties die via de M.E.Doc-software werden besmet kantoren in andere landen heeft kunnen infecteren.

Maakt de ransomware ook gebruik van e-mailbijlagen?

De eerste versies van Petya die vorig jaar verschenen gebruikten e-mailbijlagen. Dat blijkt bij deze variant niet het geval te zijn.

Welke Windowsversies lopen risico?

Zodra de ransomware een machine in een netwerk heeft geïnfecteerd kunnen in principe alle Windowscomputers worden aangevallen, ongeacht geïnstalleerde versie of patchniveau.

Welke organisaties zijn getroffen?

Uit cijfers van anti-virusbedrijf Kaspersky Lab blijkt dat de meeste infecties in Oekraïne en Rusland zijn waargenomen, gevolgd door Polen en Italië. Onder de getroffen bedrijven bevinden zich: Maersk, APM Terminals (onderdeel van Maersk), snoepfabrikant Mars, advocatenkantoor DLA Piper, Heritage Valley Health System (Amerikaanse ziekenhuizen), medicijnfabrikant Merck, medicijnfabrikant MSD, chocoladeproducent Cadbury, Raab Karcher, reclamebureau WPP, TNT Express, het Nederlandse trustkantoor TMF, de Franse retailer Auchan, het Franse bouwbedrijf St. Gobain, BNP Paribas Real Estate en de Russische oliegigant Rosneft.

Wat kunnen slachtoffers doen?

De ransomware begint niet meteen met versleutelen. Na de initiële infectie wacht de ransomware tussen de 10 en 60 minuten voordat de encryptie begint. Als slachtoffers in dit tijdsvenster de computer uitschakelen zijn de bestanden veilig. Daarnaast hebben slachtoffers nog een kans als de encryptie begint. De ransomware herstart namelijk het systeem en laat vervolgens een zogenaamde checkdiskmelding van Windows zien. Deze melding claimt dat de harde schijf is beschadigd en hersteld moet worden.

In werkelijkheid is dit het encryptieproces. Als gebruikers bij het zien van dit scherm de computer uitschakelen zijn de bestanden ook veilig. Experts stellen dat als de encryptie is voltooid het vooralsnog niet mogelijk lijkt om bestanden kosteloos te ontsleutelen, bijvoorbeeld door een fout in de gebruikte encryptieprocessen, zoals bij sommige andere ransomware-exemplaren het geval is geweest.

Hoeveel losgeld vraagt de ransomware?

Er wordt 300 dollar in bitcoin gevraagd dat naar een bitcoin-adres moet worden overgemaakt. De ransomware maakt gebruik van één bitcoin-adres, dat op het moment van schrijven inmiddels 36 transacties heeft ontvangen ter waarde van bijna 8.000 euro.

 

Hoe kunnen organisaties zich tegen de aanval beschermen?

Organisaties krijgen het advies om in ieder geval beveiligingsupdate MS17-010 van 14 maart te installeren mochten ze dit nog niet hebben gedaan. Daarnaast wordt aangeraden om de AppLocker-feature van Windows te gebruiken om het uitvoeren van bestanden met de naam "perfc.dat" te blokkeren, alsmede de PsExec-tool van de Sysinternals Suite. Verder wordt geadviseerd het SMBv1-protocol uit te schakelen. Het Zwitserse GovCERT adviseert om 'admin shares' te blokkeren. De Duitse overheid raadt aan om de automatische updatefunctie van de MeDoc-software uit te schakelen of het update-domein van de software te blokkeren. Ook wordt aangeraden om netwerken te segmenteren en naar wachtwoorden en instellingen van lokale systeembeheerders te kijken.

Hoe zit het met Nederlandse organisaties?

Containerterminals van APM in Rotterdam kregen met de infectie te maken, alsmede pakketvervoerder TNT Express, medicijnfabrikant MSD, Het Nederlandse trustkantoor TMF en Raab Karcher, leverancier van bouwmaterialen.

Krijgen slachtoffers die betalen hun bestanden terug?

De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. Ook is het niet meer mogelijk om naar het e-mailadres te mailen. Zelfs als slachtoffers betalen kunnen ze daardoor niet meer de benodigde decryptiesleutel in handen krijgen en hun bestanden ontsleutelen.

Is de uitbraak van Petya groter dan die van WannaCry?

Nee, WannaCry wist veel meer machines te infecteren dan Petya. In het geval van WannaCry worden er schattingen van 2 miljoen genoemd, terwijl het in het geval van Pety om enkele tienduizenden machines gaat.

Gaat het hier echt om ransomware?

Uit analyses van Petya blijkt dat het hier niet om ransomware gaat, maar een wiper. Een wiper is malware die specifiek ontwikkeld is om gegevens te wissen en systemen te beschadigen. In het geval van Petya blijkt dat de malware opzettelijk 24 blocks van de harde schijf overschrijft en het installatie-ID dat de 'ransomware' opgeeft een willekeurige reeks karakters is en geen relatie heeft met de encryptiesleutel die is gebruikt om de gegevens te versleutelen.

 

 

bron: security.nl