Beheer

Security
Gehackt

Zo voorkom je PetyaWrap-besmetting

Het is een venijnig stukje ransomware, dat nu de ronde doet. Maar je kunt het makkelijk buiten de deur houden.

28 juni 2017

Het is een venijnig stukje ransomware, dat nu de ronde doet. Maar je kunt het makkelijk buiten de deur houden.

Een nieuwe, grootscheepse aanval met ransomware, een virus dat computersystemen gijzelt zodat de makers losgeld kunnen eisen, heeft wereldwijd bedrijven en instellingen lamgelegd. Maar je kunt de risico's met eenvoudige maatregelen tot praktisch nul reduceren.

In Nederland zijn ieder geval de containerterminals van APM Terminals in de Rotterdamse haven slachtoffer. Bij medicijnenproducent MSD zijn de locaties in Oss en Haarlem getroffen door een cyberaanval, en waarschijnlijk ook fabrieken in andere landen. Ook pakketvervoerder TNT Express liet weten dat het last heeft van "inmenging'' in sommige systemen.

Oekraïne eerste slachtoffer

Het heeft er alle schijn van dat de oorsprong van deze ransomware-golf in de Oekraïne ligt. Daar komen de eerste meldingen vandaan, en daar slaat de malware ook hard toe. Vrijwel het gehele computernetwerk van de overheid ligt daar plat. Ook Oekraïense banken zijn getroffen; zelfs geldautomaten tonen de gevreesde ransomwareboodschap. Ook grote bedrijven zijn doelwit geworden, waaronder de beheerder van het Oekraïense elektriciteitsnet, vliegtuigfabrikant Antonov en de luchthaven van de hoofdstad Kiev. In buurland Rusland is onder meer oliemaatschappij Rosneft getroffen. Beveiligingsexperts denken dat de ransomware verstopt is in een update van een in de Oekraïne veelgebruikt financieel pakket dat MeDoc heet. Hoe het van daaruit kon overslaan naar andere systemen, is onduidelijk.

In het westen heeft onder meer het Britse reclamebureau WPP laten weten dat het tot de slachtoffers behoort. Datzelfde geldt voor de Franse producent van glas en andere bouwmaterialen Saint-Gobain, die in Nederland actief is onder de naam Raab Karcher. Ook de Amerikaanse snoep- en koekjesproducent Mondelez, bekend van merken als Milka, LU en Oreo, is getroffen.

PetyaWrap gebruikt zelfde aanvalsmethode als WannaCry

De gehanteerde ransomware-variant - die PetyaWrap is gedoopt - maakt gebruik van dezelfde aanvalsmethode als WannaCry, een maand geleden. De aanval wordt ingezet via de EternalBlue-koevoet, die door hackers buitgemaakt werd bij een inbraak in de systemen van de Amerikaanse veiligheidsdienst NSA. PetyaWrap voegt daar volgens Kasperky Labs wel een tweede inbraakmethode aan toe, ook uit de stallen van de NSA. Die luistert naar de naam EternalRomance. Eenmaal binnen maakt PetyaWrap gebruik van standaard aanwezige tools om zich zo snel mogelijk te verspreiden via het lokale netwerk. Het gaat dan met name om PsExex en WMI. PsExec is een Microsoft-tool voor beheerders om processen op andere systemen in gang te zetten. Windows Management Instrumentation - aanwezig op ieder Windows-systeem - maakt het mogelijk beheerstaken te automatiseren en gegevens over het systeem uit te lezen

Verdediging goed mogelijk

Het gebruik van de NSA-tools om binnen te dringen impliceert, dat het heel goed mogelijk is om je te verdedigen tegen infectie met PetyaWrap. Fox-IT geeft daarvoor de volgende adviezen:

1. Pas Windows Update MS17-010 toe

2. Schakel het verouderde protocol SMBv1 uit

3. Beperk het aantal accounts met lokale beheerdersrechten

De eerste adviezen werden ook al verstrekt na de uitbraak van WannaCry; met die maatregelen maak je namelijk de tools van de NSA die WannaCry en PetyaWrap gebruiken ineffectief. In die zin hebben bedrijven die nu slachtoffer worden zichzelf dus wel wat te verwijten.

Als je toch besmet raakt, dan zit je echt in de nesten. Er is namelijk geen mechanisme om het losgeld te voldoen. De provider die dat onder zijn beheer had, heeft het betreffende e-mailadres namelijk geblokkeerd. Los daarvan was onduidelijk hoe de gijzelnemers de link wilden leggen tussen mensen die het losgeld voldeden en de getroffen systemen.

Bovendien voorkomt PetyaWrap dat Windows opstart, waardoor het lastig is om tegenmaatregelen te nemen als je eenmaal het gevreesde ransomware-scherm ziet.

Het is daarom in ieder geval zaak goede back-ups in huis te hebben en ook te controleren of die back-ups te herstellen zijn. En als jouw organisatie de verdedigingsmaatregelen die Fox-IT adviseert nog niet heeft doorgevoerd: adviseer alle gebruikers om de pc onmiddellijk uit te zetten als die uit zichzelf herstart; dat is namelijk het teken waardoor PetyaWrap zich verraadt. Op dat moment zijn al wel de bestanden versleuteld, maar herstel is voor een specialist wel eenvoudiger dan na de herstart.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen