DearBytes: ‘Ransomware Petya kan langere tijd tot infecties en schade leiden’

Een nieuwe ransomwareaanval zorgt wereldwijd voor problemen, ook in Nederland. Petya gijzelde de bestanden van meerdere grote Nederlandse bedrijven. Het Nationaal Cyber Security Centrum waarschuwt voor grote economische schade. DearBytes roept Nederlandse organisaties dan ook op om permanent alert te blijven.

Petya en WannaCry vertonen overeenkomsten; met name omdat Petya zich ook richt op een lek in het SMBv1-protocol van Microsoft. De ransomwarevariant maakt daarbij eveneens gebruik van de EternalBlue-exploit. Het verschil is echter dat Petya zich ook op andere manieren probeert te verspreiden. Door gebruik te maken van reguliere beheertools en vrij beschikbare hackingtools kan het zo ook systemen infecteren die volledig up-to-date zijn.

Lange tijd hinder van Petya

"Door de automatische verspreiding kan de infectie zeer snel een geheel bedrijfsnetwerk infecteren. Petya is dan ook geschreven om op één moment alle computers tegelijkertijd onbruikbaar te maken," zegt Erik Remmelzwaal, directeur bij DearBytes. "Een ander groot verschil is dat Petya geen kill-switch bevat zoals WannaCry, waardoor de aanval nog wel een tijd lang tot infecties en schade kan leiden. Bovendien ligt een herhaling van zetten voor de hand, waardoor we komende tijd nog meer ransomwareaanvallen kunnen verwachten."

Mogelijkheden van infecties

De Oekraïense politie heeft bevestigt dat initiële infecties voortkomen uit een applicatie genaamd MeDoc, dat juist in Oekraïne veel gebruikt wordt voor belastingzaken. Maar experts zijn er nog niet uit hoe het bij organisaties terecht is gekomen die geen gebruik maken van MeDoc. Hiervoor zijn de volgende mogelijkheden:

  • De getroffen bedrijven zijn actief in Oekraïne of werken met Oekraïense medewerkers.
  • De infectie kan - net als bij WannaCry - het gevolg zijn van de verspreiding via SMB.
  • De aanvaller heeft een botnet van een andere crimineel gehuurd om de malware te verspreiden.
  • Tot slot zijn er signalen dat de malware zich via e-mail heeft verspreid.

Te nemen maatregelen

DearBytes adviseert organisaties het volgende te doen:

  • Controleer of er per e-mail bestanden zijn binnengekomen met de naam Order-20062017.doc. Dit bestand lijkt deel uit te maken van de ransomwarecampagne.
  • Zet poorten in de firewall zoveel mogelijk dicht, maar in elk geval de SMB poort 445.
  • Rol beschikbare patches zo snel mogelijk uit.
  • Verwijder besmette systemen onmiddellijk van het netwerk.
  • Maak back-ups voordat het te laat is.
  • Aangezien de infectie verspreid kan zijn via beheertools, is het verstandig om de beheerrechten van gebruikers in te perken.

Betalen losgeld werkt averechts

Het is een veelgehoord advies bij ransomware: betaal nooit. Remmelzwaal beaamt dat, ook bij een besmetting met Petya. "Door te betalen, houd je een verwerpelijk businessmodel in stand, ook al is geld verdienen hier wellicht helemaal niet het motief. Bovendien is inmiddels betalen zinloos geworden omdat de mailbox die daarvoor door de aanvallers in het leven is geroepen, offline is gehaald. Betaling van het losgeld leidt dus niet tot herstel van systemen of bestanden."

Dossiers
Lees ook
Zerto en IDC: bijna twee derde gebruikte vorig disaster recovery in om te herstellen van een cyberaanval

Zerto en IDC: bijna twee derde gebruikte vorig disaster recovery in om te herstellen van een cyberaanval

Zerto, een dochteronderneming van Hewlett Packard Enterprise, en onderzoeksbureau IDC delen vandaag de resultaten van een uitgebreid onderzoek naar de mate waarin organisaties zijn voorbereid op ransomware-aanvallen en andere calamiteiten. 79 procent blijkt het afgelopen jaar een beroep te hebben gedaan op een disaster recovery-oplossing.

Rabobank bestrijdt groeiende ransomware-dreiging met Cloudian Object Storage

Rabobank bestrijdt groeiende ransomware-dreiging met Cloudian Object Storage

Rabobank zet Cloudian object storage in als onderdeel van de gelaagde verdediging tegen ransomware-aanvallen. In combinatie met Veeam back-up software kan Rabobank met Cloudian’s S3 Object Lock-oplossing kopieën van back-up data onveranderlijk maken, waardoor ze beschermd zijn tegen versleuteling of verwijdering door cybercriminelen.

Zerto zag vraag naar oplossingen voor herstel van ransomware flink groeien in 2021

Zerto zag vraag naar oplossingen voor herstel van ransomware flink groeien in 2021

Zerto, een dochteronderneming van Hewlett Packard Enterprise, heeft in 2021 een sterke opmars gemaakt met de oplossingen voor het herstellen van ransomware. Naast de overname door HPE droegen diverse productintroducties, het winnen van prestigieuze prijzen, bijval vanuit de branche en een recordaantal nieuwe klanten en partners bij aan het succes.