Het kan niemand ontgaan zijn: deze week werden we opgeschrikt door een nieuwe ransomware-variant die zich razendsnel verspreidde. De malware liet zich voor het eerst in de Oekraïne zien. Eindgebruikers startten het vermoedelijk zelf op, op het moment dat ze een extern afgenomen softwarepakket dachten te openen.
Door ketenafhankelijkheden verspreidde het virus zich vanuit Oekraïne de hele wereld over. Onder andere containerbedrijf Maersk en pakketbezorger TNT werden getroffen.
Hoewel alle antiviruspakketten naar aanleiding van de WannaCry-aanval hun signatures hadden aangepast om misbruik van de kwetsbaarheid achter NSA exploit Eternalblue te kunnen voorkomen, hadden de makers van (Not)Petya de Eternalblue exploit dusdanig gemuteerd dat de meeste antiviruspakketten Petya niet detecteerden. Daarnaast verspreidt Petya (of beter: een als Petya gemaskeerde ransomware-variant, ook wel NotPetya genoemd) zich ook via de netwerkrechten van de gebruiker die de ransomware opent. Of via rechten die in het geheugen van die computer aanwezig zijn (oude beheersessies) en waartoe de gebruiker via zijn lokale beheerrechten toegang heeft.
Wat kunnen we doen om ons tegen Petya en vergelijkbare virussen te beschermen? Een aantal tips:
- Zorg dat systemen van de laatste updates zijn voorzien
- Zorg dat anti-virus-software overal is bijgewerkt
- Zorg dat een Windows-domein minimaal op 2012R2 functional level acteert
- Markeer elk account dat over enige vorm van beheerrechten beschikt als ‘protected user” (2012R2 functional level noodzakelijk)
- Zorg dat KB2871997 op alle oudere, nog ondersteunde, Windows versies is geïnstalleerd. Schakel vervolgens op oudere Windows versies (Windows 7, Windows 2008) credential caching expliciet uit (UseLogonCredential 0) -> https://support.microsoft.com/en-us/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
- Log op systemen altijd in met ‘normale’ gebruikersrechten (geen admin). Gebruik accounts met verhoogde ‘admin’-rechten (waarmee op andere systemen kan worden ingelogd) alleen op het moment dat ze echt nodig zijn
- Instrueer medewerkers extra terughoudend te zijn met het openen van onbekende of onverwachte bestanden die via e-mail worden aangeboden (e-mail lijkt in dit geval geen distributiemechanisme, maar dit kan bij andere varianten veranderen)
- Overweeg privémail die via HTTPS wordt geopend en mogelijk minder goed wordt gecontroleerd (tijdelijk) te blokkeren
- Isoleer systemen die niet gepatcht kunnen worden binnen het netwerk zoveel mogelijk
- Blokkeer TCP-poorten die gerelateerd zijn aan SMB en RPC (zoals 445/139/135) zoveel als, zeker daar waar het om koppelingen met externe netwerken gaat
Beetje gemengde gevoelens bij de adviezen. Zeker nu je schrijft over de uitbraak van gisteren 27 Juni 2017.
Handige bronnen: https://tweakers.net/nieuws/126465/aanval-met-petya-ransomware-is-niet-bedoeld-om-geld-te-verdienen.html (en een aantal reacties)
en een analyse van microsoft:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
Wat ik bijvoorbeeld mis is om als verantwoordelijk te abonneren op “pulses” bijvoorbeeld bij Alien Vault.
Maar ook een heldere communicatie van het proces van “wat als een uitbraak is” inclusief het proces voor het melden naar Autoriteit Persoonsgegevens voor het datalek.
Zo kort door de bocht als “Zorg dat systemen van de laatste updates zijn voorzien” helpt niet.
En dan in dit specifieke geval lees ik er nergens bij je hoe deze uitbraak tot stand is gekomen. Zoals het lijkt is er één specifiek bedrijf van administratieve software – MeDoc – uit de Oekraïne die het probleem veroorzaakt heeft. Dat bedrijf bood software-update aan die besmet bleek. De software werd dus (automatisch?) bijgewerkt. So much voor “Zorg dat systemen van de laatste updates zijn voorzien”, want dit was uiteindelijk de oorzaak. Zo’n update gaat dan vaak al uitgevoerd worden door een admin account met verhoogde rechten. Vanuit die installatie gedroeg de malware zich als een worm.
Maar goed. Er is geen simpel stappenplan. Awareness, aangesloten zijn bij relevante nieuwsbronnen, helder beleid communiceren voor de diverse scenario’s, zijn cruciaal.
Vroeg of laat zijn we allemaal het bokje en dan is het vooral belangrijk hoe goed je dan in staat bent dit het hoofd te bieden….
Beste Henri, bedankt voor je reactie en leuk dat je meedenkt met aanvullende tips. In het artikel zijn inderdaad preventieve aandachtspunten benoemd en niets gericht op detect/respond/correct. Toegegeven: patches en antivirus zijn open deuren. Maar dat maakt ze in deze context niet minder relevant. In (Not)Petya viel mijn oog overigens met name op de verspreiding via psexec/wmic. Uit de pentesten die ik uitvoer en de adviezen die ik klanten geef weet ik dat er vaak terugkomende maatregelen zijn die veelal nog niet zijn geimplementeerd en die de impact hiervan kunnen helpen verkleinen. Deze wilde ik graag benoemen, in de hoop dat er voor elke lezer iets tussen zit waar hij iets aan heeft. En voor wie alles al op orde heeft leidt het hopelijk vooral tot herkenning.
Ik mis een heel belangrijk advies: MAAK BACK-UPS!
En dan liefst met versies, zoals bijvoorbeeld TimeMachine van de Mac doet. Je kunt dan altijd terug naar een versie van het bestand dat nog niet beschadigd is als het even duurt voordat je doorhebt dat je bestanden versleuteld zijn.
Frank, helemaal waar. Maar backups zit al zo diep in mijn systeem (en dat zou bij iedereen moeten zijn) dat ik dat niet eens meer noem. Net als “die je deur op slot doet als je van huis gaat”.
Ieder bedrijf dat niet in staat is om back-ups terug te zetten (en dus te maken) zou zich stuk moeten schamen.
Regelmatige een back-up maken is belangrijk, maar die back-up moet ook regelmatig (read only) getest worden en heel goed beveiligd worden tegen versleuteling of definitief wissen. Een back-up server of -station kan geïnfecteerd worden en zo kunnen de gegevens op bijvoorbeeld een SAN (Storage Area Network) alsnog worden aangetast. De system restore, et cetera, moet ook voorbereid zijn. Dat is veel werk, maar zoals Henry zegt, dat moet een bedrijf kunnen.
Voor het MKB is dat wel lastig. Vaak maakt men daar een (geautomatiseerde) back-up in eigen beheer. Dat kan een back-up zijn op een extra interne schijf, UBS-schijf of NAS (Network Attached Storage). Maar de computers of het lokale netwerk hebben meestal schrijftoegang tot die schijven en dus zijn de data zonder extra maatregelen net zo kwetsbaar. Er is malware speciaal voor bepaalde types NAS. Een simpele gratis back-up in de cloud (Dropbox, Google Drive, OneDrive) is ook kwetsbaar. De meeste technische en procedurele oplossingen zijn te complex, te duur of te tijdrovend voor de MKB-er. Een eenvoudige oplossing is het maken van een extra back-up op een DVD of een geavanceerde back-up dienst bij een derde.
@Henri
Jij zei:
Maar backups zit al zo diep in mijn systeem (en dat zou bij iedereen moeten zijn) dat ik dat niet eens meer noem. Net als “die je deur op slot doet als je van huis gaat”.
Bij jou zit het in je systeem, bij mij ook, maar bij velen niet.
De meeste mensen doen in de echte wereld slimme dingen, zoals je deur op slot doen als je weggaat. In de online wereld doen die zelfde slimme mensen hele domme dingen, zoals wachtwoorden afgeven, geld naar criminelen overmaken omdat ze in domme phishing vallen trappen, onbekende bijlagen in mails openen, …
De gemiddelde computergebruiker maakt geen back-ups. De gemiddelde computergebruiker waant zich veilig omdat hij (m/v) een virusscanner heeft. Dat zo’n scanner totaal nutteloos is bij een phishing val, komt niet in ze op.
Met andere woorden: de gemiddelde computergebruiker is zeer vatbaar voor ransomware! En als je er last van hebt, dan zijn er 3 opties:
– je systeem wissen en back-up van voor de besmetting (versies!!!) terugzetten;
– $300 overmaken naar de criminelen, waarna je je bestanden weer terugkrijgt;
– je verlies nemen en accepteren dat je je bestanden kwijt bent.