DearBytes: ‘Bedrijven moeten lessen trekken uit Petya-aanval’

Nederland en de rest van de wereld sidderen nog na van de grootschalige ransomwareaanval Petya. "Bedrijven moeten hier lessen uit trekken om te voorkomen dat de schade de volgende keer nog verder oploopt", zegt Erik Remmelzwaal, directeur bij DearBytes. Dit zijn de eigenaardige zaken die DearBytes opvielen.

1. Petya bevestigt: ransomware wordt steeds geraffineerder

In eerste instantie leken de overeenkomsten met WannaCry groot: ook Petya gebruikt Microsofts SMBv1-protocol voor infectie en verdere verspreiding binnen een netwerk. Maar daar lieten de Petya-auteurs het niet bij. De allereerste besmettingen met de ransomware blijken voort te komen uit de boekhoudsoftware MeDoc. Daarnaast veronderstellen sommige experts dat infecties via e-mail of zogenaamde watering hole attacks zijn ontstaan.

Eenmaal binnen verloopt verdere verspreiding behalve via SMB ook via de Windows-beheertool PsExec en het Windows-component Windows Management Instrumentation (WMI). De ransomware gaat met behulp van de publiekelijk beschikbare hackingtool Mimikatz zelf actief op zoek naar inloggegevens voor verdere verspreiding.

Remmelzwaal: "Petya bevestigt hiermee wat wij al veel langer roepen: ransomware neemt in slagkracht toe. Nederland heeft als kenniseconomie veel te vrezen van cyberdreigingen zoals Petya, die in aantal en professionaliteit schrikbarend toenemen. Nederlandse organisaties moeten dit goed tot zich door laten dringen. De volgende grootschalige aanval mag niet als verrassing komen."

2. Petya is een virus vermomd als ransomware

Er zijn meerdere signalen dat het de verspreiders van Petya helemaal niet te doen is om het losgeld, maar om sabotage en het creëren van chaos. Zo werd de door de aanvallers gebruikte mailbox al op de dag van de aanval offline gehaald waardoor losgeld betalen geen zin heeft. Het slachtoffer zal de sleutel voor het decrypten van de bestanden dan ook nooit ontvangen. Zelfs wordt verondersteld dat de malware überhaupt geen functionaliteit bevat om te decrypten na betaling.

Evenals bij WannaCry is ook bij Petya het opgehaalde losgeldbedrag vooralsnog opmerkelijk laag. Volgens het Twitter-account @petya_payments stond de teller zo'n 24 uur na de massale uitbraak op nog geen 10.000 dollar.

Het is een advies dat DearBytes blijft herhalen: "Betaal geen losgeld, nooit. In het geval van Petya is het betalen van losgeld zelfs zinloos. Het leidt niet tot herstel van systemen of bestanden. Sterker nog: het vergroot de nadelige financiële gevolgen alleen verder."

3. Aanvallers kiezen hun 'moment of glory' zorgvuldig

Vaak vindt een grootschalige uitbraak plaats op een vrijdagmiddag, zoals bij WannaCry het geval was. Niet geheel toevallig: aanvallers gokken erop dat het voor organisaties lastig is om op de drempel naar het weekend hun securityteams op te schalen. Petya, dat Oekraïne als primair doelwit had, was eveneens zorgvuldig gepland: een dag voor de 'Dag van de Constitutie'.

"Hieruit spreekt natuurlijk ook symboliek", reageert Remmelzwaal. "Toch moeten we niet uitsluiten dat de volgende aanval plaatsvindt op een moment dat de aandacht mogelijk verzwakt, zoals tijdens de aanstaande zomervakantieperiode."

4. Geen killswitch. Wel een 'vaccin'?

Het grote nieuws na de WannaCry-uitbraak was de ontdekking van een 'killswitch'. Een Britse beveiligingsonderzoeker registreerde een domeinnaam waarmee WannaCry verbinding maakte, waarna de verspreiding stokte.

Petya heeft die killswitch niet. Wel maakten beveiligingsonderzoekers melding van een 'vaccin' dat bestaat uit het aanmaken van het bestand D:\windows\perfc. Dit is echter veel bewerkelijker om te realiseren omdat het op elke computer moet gebeuren, terwijl de WannaCry killswitch met één handeling de hele campagne wereldwijd onschadelijk maakte. Daarnaast zal het altijd zo zijn dat bij onderzoek van malware er een manier te vinden is om installatie te blokkeren, dus deze vondst is niet zo bijzonder, wel handig.

5. Petya wakkert de competitie aan

Zoals na iedere uitbraak begon ook nu het populaire spelletje 'who done it' al snel. Opvallend is dat Oekraïne weer het primaire slachtoffer was, nadat enkele maanden geleden ook al het elektriciteitsnetwerk in de hoofdstad Kiev werd platgelegd door een industrieel virus. De vingers wijzen dan al snel naar Rusland, dat Oekraïne wel vaker zou gebruiken als 'speeltuin' voor hun hacks.

"Wie achter Petya zit, komen we misschien nooit te weten en speculeren heeft ook geen zin", stelt Remmelzwaal. "Wat wel duidelijk is, is dat zo'n 'succesvolle' aanval de competitiedrang onder cybercriminelen en andere bad guys verder opvoert en ook actoren aanmoedigt waar we nu nog geen rekening mee houden."

Remmelzwaal vervolgt: "Zij worden daarbij op hun wenken bediend door The Shadow Brokers, de groep die verantwoordelijk wordt gehouden voor de diefstal van een groot arsenaal aan cyberwapens van de NSA. Zij haakten direct in op de Petya-uitbraak met een blogpost waarin ze vooruitblikken op een nieuwe dump van hacktools en een nieuwe dienst aankondigen om tegen betaling met hen in contact te komen. Zoals The Shadow Brokers zelf zeggen: so, to business!"