Petya, Petwrap, GoldenEye of ExPetr? Beveiligingsexperts mogen het niet eens zijn over de naam van de cyberaanval die 27 juni de wereld verraste, over het doel ervan zijn ze wel eensgezind. Het gaat om een virus vermomd als ransomware. Losgeld lijkt bijzaak. Zoveel mogelijk chaos creëren, dat is de inzet.
Dat stelt Dearbytes. Volgens de ict-beveiliger, die sinds januari 2017 onderdeel is van KPN, zijn er meerdere signalen dat het de verspreiders van Petya helemaal niet te doen is om losgeld, maar om sabotage en het creëren van wanorde.
Ook uit analyses van andere beveiligingsexperts komt naar boven dat de aanpak om losgeld te innen nauwelijks succesvol is en vermoedelijk niet de hoofdgedachte achter de aanval is.
De gebruikte mailbox waar slachtoffers na betaling van Bitcoins hun bestanden terug zouden krijgen, is al op de eerste dag van de aanval offline gehaald (waarschijnlijk door de provider) waardoor losgeld betalen geen zin heeft. Experts, waaronder DearBytes, veronderstellen zelfs dat de malware überhaupt geen functionaliteit bevat om na betaling de bestanden te ontsleutelen. Er zou slechts tienduizend euro aan losgeld zijn betaald, terwijl de schade door de aanval voor getroffen bedrijven in de miljoenen kan lopen.
Overigens raden ict-beveiligers bedrijven en organisaties die slachtoffer zijn geworden van gijzelsoftware af om te betalen aan cybercriminelen.
‘Steeds geraffineerder’
Dearbytes-directeur Erik Remmelzwaal benadrukt dat het belangrijk is dat bedrijven lessen trekken uit deze aanvalsgolf: ‘Ransomware wordt steeds geraffineerder’, waarschuwt hij.
‘In eerste instantie leken de overeenkomsten met WannaCry groot: ook Petya gebruikt Microsofts SMBv1-protocol voor infectie en verdere verspreiding binnen een netwerk. Maar daar lieten de Petya-auteurs het niet bij. De allereerste besmettingen met de ransomware blijken voort te komen uit de boekhoudsoftware MeDoc. Daarnaast veronderstellen sommige experts dat infecties via e-mail of zogenaamde watering hole attacks zijn ontstaan.’
Volgens de beveiliger verloopt de verspreiding eenmaal binnen het netwerk via zowel SMB als de Windows-beheertool PsExec en de Windows-component Windows Management Instrumentation (WMI).
‘De ransomware gaat met behulp van de publiekelijk beschikbare hackingtool Mimikatz zelf actief op zoek naar inloggegevens voor verdere verspreiding.’ Volgens Remmelzwaal neemt ransomware in slagkracht toe en heeft Nederland, dat een belangrijke kenniseconomie heeft, veel te vrezen van cyberdreigingen zoals Petya. Hij vindt dat de volgende grootschalige aanval niet als een verrassing moet komen.
Zomerperiode vormt risico
Remmelzwaal wijst erop dat aanvallers zorgvuldig het juiste moment kiezen om toe te slaan.
‘Vaak vindt een grootschalige uitbraak plaats op een vrijdagmiddag, zoals bij WannaCry het geval was. Niet geheel toevallig: aanvallers gokken erop dat het voor organisaties lastig is om op de drempel naar het weekend hun securityteams op te schalen. Petya, dat Oekraïne als primair doelwit had, was eveneens zorgvuldig gepland: een dag voor de Dag van de Constitutie.’
De Dearbytes-directeur waarschuwt dat de aankomende zomervakantie gewaakt moet worden voor momenten van verzwakking. Doordat de bezetting van beveiligingsafdelingen in die periode soms lager is, kan de beveiliging van een netwerk volgens hem in gevaar komen.
Petya, Petwrap, GoldenEye, ExPetr
Beveiligings-experts meldden 27 juni 2017 een wereldwijde aanvalsgolf van ransomware.
Computable-expert Maarten Hartsuijker gaat in zijn opinie-artikel in op hoe je die ransomware kunt bestrijden.
Hoezo, *waarschijnlijk* door de provider? De provider heeft het zelf op zijn website vermeld! Niets waarschijnlijks aan.
Ja en dan werk je als Roverheid ook nog met Windows XP natuurlijk, en dan niet snappen wat je allemaal overkomt.
Het gaat waarschijnlijk om elektronische oorlogsvoering van de SFB en tegen de Oekraïne. De rest is collateral damage. Acties van de SFB en de GRU gaan wel eens verder dan de bedoeling is. Ben benieuwd naar het verdere onderzoek door specialisten.
Er is behoorlijk wat meer informatie beschikbaar via de diverse links:
1) Het is geen ransomware, maar eerder wipeware (bestanden worden niet versleuteld maar gewoon kapot gemaakt c.q. verwijderd)
2) Het virus is niet geactiveerd via een fout email bijlage, maar door een software update van Me-doc administratieve software (uit de Oekraïne)
3) Eenmaal geactiveerd gedraagt het zich als een worm via diverse zwakheden waaronder 1 in het SMB protocol.
4) Het doel is niet om geld te verdienen, maar om schade aan te richten.
Saillant detail is dat het snel up-to-date houden nu juist de zwakheid was. Het virus werd verspreid via een software update. Al met al een hoop techniek bij elkaar met veel intelligentie opgezet.
Laat het de waarschuwing zijn dat niemand zich veilig kan wanen voor dit soort onheil.
Richt je processen dan ook in op het geval dat het misgaat. Voorbereid doe je wellicht alles net wat beter dan als je overvallen wordt zonder plan…
@Henry
Je hebt gelijk. het gaat nu om NotPetya een wiper, die zich gedraagt als Petya en daarvan wellicht afgeleid is. Zie https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/
Petya is ransomware dat meer dan een jaar geleden al verscheen. De sleutel wordt per PC gegenereerd en moet per PC worden aangeschaft met behulp van de code die op je PC te zien krijgt. Zie
https://www.bleepingcomputer.com/news/security/petya-ransomware-skips-the-files-and-encrypts-your-hard-drive-instead/