zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Vijf opvallende eigenaardigheden van de Petya-aanval

30 juni 2017 - Nederland en de rest van de wereld sidderen nog na van de grootschalige ransomwareaanval Petya. "Bedrijven moeten hier lessen uit trekken om te voorkomen dat de schade de volgende keer nog verder oploopt."

Dit zegt Erik Remmelzwaal, directeur bij DearBytes. Dit zijn de eigenaardige zaken die DearBytes opvielen.


 
1. Petya bevestigt: ransomware wordt steeds geraffineerder
In eerste instantie leken de overeenkomsten met WannaCry groot: ook Petya gebruikt Microsofts SMBv1-protocol voor infectie en verdere verspreiding binnen een netwerk. Maar daar lieten de Petya-auteurs het niet bij. De allereerste besmettingen met de ransomware blijken voort te komen uit de boekhoudsoftware MeDoc. Daarnaast veronderstellen sommige experts dat infecties via e-mail of zogenaamde watering hole attacks zijn ontstaan.
Eenmaal binnen verloopt verdere verspreiding behalve via SMB ook via de Windows-beheertool PsExec en het Windows-component Windows Management Instrumentation (WMI). De ransomware gaat met behulp van de publiekelijk beschikbare hackingtool Mimikatz zelf actief op zoek naar inloggegevens voor verdere verspreiding.
Remmelzwaal: "Petya bevestigt hiermee wat wij al veel langer roepen: ransomware neemt in slagkracht toe. Nederland heeft als kenniseconomie veel te vrezen van cyberdreigingen zoals Petya, die in aantal en professionaliteit schrikbarend toenemen. Nederlandse organisaties moeten dit goed tot zich door laten dringen. De volgende grootschalige aanval mag niet als verrassing komen."
 
2. Petya is een virus vermomd als ransomware
Er zijn meerdere signalen dat het de verspreiders van Petya helemaal niet te doen is om het losgeld, maar om sabotage en het creëren van chaos. Zo werd de door de aanvallers gebruikte mailbox al op de dag van de aanval offline gehaald waardoor losgeld betalen geen zin heeft. Het slachtoffer ontvangt de sleutel voor het decrypten van de bestanden toch niet. Zelfs wordt verondersteld dat de malware überhaupt geen functionaliteit bevat om te decrypten na betaling.
Evenals bij WannaCry is ook bij Petya het opgehaalde losgeldbedrag vooralsnog opmerkelijk laag. Volgens het Twitter-account @petya_payments stond de teller zo'n 24 uur na de massale uitbraak op nog geen 10.000 dollar.
Het is een advies dat DearBytes blijft herhalen: "Betaal geen losgeld, nooit. In het geval van Petya is het betalen van losgeld zelfs zinloos. Het leidt niet tot herstel van systemen of bestanden. Sterker nog: het vergroot de nadelige financiële gevolgen alleen verder."
 
3. Aanvallers kiezen hun 'moment of glory' zorgvuldig
Vaak vindt een grootschalige uitbraak plaats op een vrijdagmiddag, zoals bij WannaCry het geval was. Niet geheel toevallig: aanvallers gokken erop dat het voor organisaties lastig is om op de drempel naar het weekend hun securityteams op te schalen. Petya, dat Oekraïne als primair doelwit had, was eveneens zorgvuldig gepland: een dag voor de 'Dag van de Constitutie'.
"Hieruit spreekt natuurlijk ook symboliek," reageert Remmelzwaal. "Toch moeten we niet uitsluiten dat de volgende aanval plaatsvindt op een moment dat de aandacht mogelijk verzwakt, zoals tijdens de aanstaande zomervakantieperiode."
 
4. Geen killswitch. Wel een 'vaccin'?
Het grote nieuws na de WannaCry-uitbraak was de ontdekking van een 'killswitch'. Een Britse beveiligingsonderzoeker registreerde een domeinnaam waarmee WannaCry verbinding maakte, waarna de verspreiding stokte.
Petya heeft die killswitch niet. Wel maakten beveiligingsonderzoekers melding van een 'vaccin' dat bestaat uit het aanmaken van het bestand D:windowsperfc. Dit is echter veel bewerkelijker om te realiseren omdat het op elke computer moet gebeuren, terwijl de WannaCry killswitch met één handeling de hele campagne wereldwijd onschadelijk maakte. Daarnaast zal het altijd zo zijn dat bij onderzoek van malware er een manier te vinden is om installatie te blokkeren, dus deze vondst is niet zo bijzonder, wel handig.
 
5. Petya wakkert de competitie aan
Zoals na iedere uitbraak begon ook nu het populaire spelletje 'who done it' al snel. Opvallend is dat Oekraïne weer het primaire slachtoffer was, nadat enkele maanden geleden ook al het elektriciteitsnetwerk in de hoofdstad Kiev werd platgelegd door een industrieel virus. De vingers wijzen dan al snel naar Rusland, dat Oekraïne wel vaker zou gebruiken als 'speeltuin' voor hun hacks.
"Wie achter Petya zit, komen we misschien nooit te weten en speculeren heeft ook geen zin," stelt Remmelzwaal. "Wat wel duidelijk is, is dat zo'n 'succesvolle' aanval de competitiedrang onder cybercriminelen en andere bad guys verder opvoert en ook actoren aanmoedigt waar we nu nog geen rekening mee houden. Zij worden daarbij op hun wenken bediend door The Shadow Brokers, de groep die verantwoordelijk wordt gehouden voor de diefstal van een groot arsenaal aan cyberwapens van de NSA. Zij haakten direct in op de Petya-uitbraak met een blogpost waarin ze vooruitblikken op een nieuwe dump van hacktools en een nieuwe dienst aankondigen om tegen betaling met hen in contact te komen. Zoals The Shadow Brokers zelf zeggen: so, to business!"
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Extreme beloning toppers in bedrijfsleven blijkt wederom mythe
 Sterke ontwikkeling cloud- en hostinggebruik in Nederland
 Kennis cybersecurity-terminologie Nederlandse beslissers onvoldoende
 

Gerelateerde nieuwsitems

 Gebrek aan beveiliging IoT verdubbelde aantal DDoS-aanvallen
 Nigeriaanse phishingcrimineel zit nu ook achter waardevolle documenten aan
 'WannaCry is niet de wake-upcall die Nederland nodig heeft'
 Overheid en financiële sector vaakst slachtoffer van cyberaanvallen
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
reacties
Marketeers besteden video steeds meer uit (3) 
De Tesla-taxi's van Schiphol gaan in de verkoop (4) 
UPS bestelt 125 Tesla-trucks (1) 
Vijf eigenschappen van succesvolle CEO's (2) 
De cloud is nog ongrijpbaar voor veel senioren  (1) 
Wereldwijde faillissementen stijgen nog sneller dan verwacht (1) 
De kater na carnaval: feestvierders nemen vrije dagen op  (1) 
top10
De top tien startups waar talent wil werken
Werknemer niet enthousiast over nieuwe werkgever
Een op drie werkenden fantaseert weleens over collega
40 procent vindt zijn/haar baan niet zinvol
Toenemend aantal zoekopdrachten naar banen in Polen vanuit Nederland
Zorgmedewerkers zien al twee jaar geen verbetering in ICT-voorzieningen
Ruim 50 procent wil ook lid van Koningshuis als designated survivor
De waarde van een post mortem onderzoek na een cyberaanval
Optimaliseer de software supply chain voor meer succes
Hé, zelfstandig ondernemer, waarom werk jij niet gewoon in loondienst?
meer top 10