DearBytes: ‘Ransomware Petya kan langere tijd tot infecties en schade leiden’

Een nieuwe ransomwareaanval zorgt wereldwijd voor problemen, ook in Nederland. Petya gijzelde de bestanden van meerdere grote Nederlandse bedrijven. Het Nationaal Cyber Security Centrum waarschuwt voor grote economische schade. DearBytes roept Nederlandse organisaties dan ook op om permanent alert te blijven.

Petya en WannaCry vertonen overeenkomsten; met name omdat Petya zich ook richt op een lek in het SMBv1-protocol van Microsoft. De ransomwarevariant maakt daarbij eveneens gebruik van de EternalBlue-exploit. Het verschil is echter dat Petya zich ook op andere manieren probeert te verspreiden. Door gebruik te maken van reguliere beheertools en vrij beschikbare hackingtools kan het zo ook systemen infecteren die volledig up-to-date zijn.

Lange tijd hinder van Petya

"Door de automatische verspreiding kan de infectie zeer snel een geheel bedrijfsnetwerk infecteren. Petya is dan ook geschreven om op één moment alle computers tegelijkertijd onbruikbaar te maken," zegt Erik Remmelzwaal, directeur bij DearBytes. "Een ander groot verschil is dat Petya geen kill-switch bevat zoals WannaCry, waardoor de aanval nog wel een tijd lang tot infecties en schade kan leiden. Bovendien ligt een herhaling van zetten voor de hand, waardoor we komende tijd nog meer ransomwareaanvallen kunnen verwachten."

Mogelijkheden van infecties

De Oekraïense politie heeft bevestigt dat initiële infecties voortkomen uit een applicatie genaamd MeDoc, dat juist in Oekraïne veel gebruikt wordt voor belastingzaken. Maar experts zijn er nog niet uit hoe het bij organisaties terecht is gekomen die geen gebruik maken van MeDoc. Hiervoor zijn de volgende mogelijkheden:

• De getroffen bedrijven zijn actief in Oekraïne of werken met Oekraïense medewerkers.
• De infectie kan - net als bij WannaCry - het gevolg zijn van de verspreiding via SMB.
• De aanvaller heeft een botnet van een andere crimineel gehuurd om de malware te verspreiden.
• Tot slot zijn er signalen dat de malware zich via e-mail heeft verspreid.

Te nemen maatregelen

DearBytes adviseert organisaties het volgende te doen:

• Controleer of er per e-mail bestanden zijn binnengekomen met de naam Order-20062017.doc. Dit bestand lijkt deel uit te maken van de ransomwarecampagne.
• Zet poorten in de firewall zoveel mogelijk dicht, maar in elk geval de SMB poort 445.
• Rol beschikbare patches zo snel mogelijk uit.
• Verwijder besmette systemen onmiddellijk van het netwerk.
• Maak back-ups voordat het te laat is.
• Aangezien de infectie verspreid kan zijn via beheertools, is het verstandig om de beheerrechten van gebruikers in te perken.

Betalen losgeld werkt averechts

Het is een veelgehoord advies bij ransomware: betaal nooit. Remmelzwaal beaamt dat, ook bij een besmetting met Petya. "Door te betalen, houd je een verwerpelijk businessmodel in stand, ook al is geld verdienen hier wellicht helemaal niet het motief. Bovendien is inmiddels betalen zinloos geworden omdat de mailbox die daarvoor door de aanvallers in het leven is geroepen, offline is gehaald. Betaling van het losgeld leidt dus niet tot herstel van systemen of bestanden."