Inhoud
- Wat is de NotPetya-ransomware?
- Tegen wie bescherm jij jezelf?
Wat is de NotPetya-ransomware?
NietPetya (of Dierenverpakking) is gebaseerd op een oudere versie van de Petya-ransomware, dat oorspronkelijk was ontworpen om op zijn beurt bestanden en apparaten te gijzelen voor Bitcoin-betaling. Echter ondanks NotPetya's poging om geld in te zamelen in zijn snel voortschrijdende mondiale aanval lijkt het er niet uitsluitend op uit te zijn dat het geld uit is. In plaats daarvan codeert NotPetya de bestandssystemen van machines om bedrijven schade te berokkenen. Het ransomware-aspect is blijkbaar slechts een dekmantel.
Aanbevolen video's
Wat NotPetya gevaarlijk maakt, is dat er onder het op ransomware gebaseerde front een exploit schuilgaat EeuwigBlauw, naar verluidt ontworpen door de National Security Administration van de Verenigde Staten (ook bekend als de NSA). Het richt zich op een specifiek, kwetsbaar netwerkprotocol genaamd Serverberichtenblok (versie 1) gebruikt voor het delen van printers, bestanden en seriële poorten tussen op een netwerk aangesloten Windows-pc's. Door de kwetsbaarheid kunnen aanvallers op afstand kwaadaardige code naar een doelwit verzenden en uitvoeren computer. De hackergroep Shadow Brokers lekte EternalBlue in april 2017.
De NotPetya-ransomware bevat ook een “worm”-component. Meestal vallen slachtoffers ten prooi aan ransomware door malware te downloaden en uit te voeren, vermomd als een legitiem bestand dat in een e-mail is bijgevoegd. De malware versleutelt op zijn beurt specifieke bestanden en plaatst een pop-upvenster op het scherm, waarin betaling in Bitcoins wordt gevraagd om die bestanden te ontgrendelen.
De Petya-ransomware die begin 2016 opdook, ging echter nog een stap verder door de volledige harde schijf van de pc te versleutelen. schijf of solid-state schijf door het master-opstartrecord te infecteren, waardoor het programma wordt overschreven dat het opstarten van Windows begint reeks. Dit resulteerde in een versleuteling van de tabel die werd gebruikt om bij te houden alle lokale bestanden (NTFS), waardoor Windows niets kan lokaliseren dat lokaal is opgeslagen.
Ondanks dat Petya een hele schijf kon versleutelen, kon het slechts één enkele doel-pc infecteren. Echter, zoals gezien met de recente WannaCry-uitbraak, heeft ransomware nu de mogelijkheid om zonder tussenkomst van de gebruiker van pc naar pc te gaan op een lokaal netwerk. De nieuwe NotPetya-ransomware is in staat tot dezelfde laterale netwerkbesmetting, in tegenstelling tot de originele Petya-versie.
Volgens Microsoft is een van de aanvalsvectoren van NotPetya de mogelijkheid om inloggegevens te stelen of een actieve sessie te hergebruiken.
“Omdat gebruikers vaak inloggen met accounts met lokale beheerdersrechten en actieve sessies open hebben meerdere machines, gestolen inloggegevens bieden waarschijnlijk hetzelfde toegangsniveau als de gebruiker op andere machines machines,” meldt het bedrijf. “Zodra de ransomware geldige inloggegevens heeft, scant deze het lokale netwerk om geldige verbindingen tot stand te brengen.”
De NotPetya-ransomware kan ook bestandsshares gebruiken om zichzelf over het lokale netwerk te vermenigvuldigen en machines te besmetten die niet zijn gepatcht tegen de EternalBlue-kwetsbaarheid. Microsoft vermeldt zelfs Eeuwige Romantiek, een andere exploit die wordt gebruikt tegen het Server Message Block-protocol dat zogenaamd door de NSA is bedacht.
“Dit is een geweldig voorbeeld van hoe twee malwarecomponenten samenkomen om meer verderfelijke en veerkrachtige malware te genereren”, zegt hij Ivanti Chief Information Security Officer Phil Richards.
Naast de snelle, wijdverbreide aanval van NotPetya bestaat er nog een ander probleem: betaling. De ransomware biedt een pop-upvenster waarin slachtoffers worden gevraagd $300 aan Bitcoins te betalen met behulp van een specifiek Bitcoin-adres, Bitcoin-portemonnee-ID en persoonlijk installatienummer. Slachtoffers sturen deze informatie naar een opgegeven e-mailadres dat reageert met een ontgrendelingssleutel. Dat e-mailadres werd snel afgesloten toen de Duitse e-mailprovider Posteo de kwade bedoelingen ontdekte.
“We zijn ons ervan bewust geworden dat ransomware-afpersers momenteel een Posteo-adres gebruiken als contactmiddel. Ons anti-misbruikteam heeft dit onmiddellijk gecontroleerd en het account meteen geblokkeerd”, zei het bedrijf. “We tolereren misbruik van ons platform niet: het onmiddellijk blokkeren van misbruikte e-mailaccounts is in dergelijke gevallen de noodzakelijke aanpak van providers.”
Dat betekent dat elke poging om te betalen nooit zou slagen, zelfs als de betaling het doel van de malware zou zijn.
Tot slot geeft Microsoft aan dat de aanval afkomstig is van het Oekraïense bedrijf M.E.Doc, de ontwikkelaar achter de belastingboekhoudsoftware MEDoc. Microsoft lijkt niet met de vingers te wijzen, maar verklaarde in plaats daarvan dat het bewijs heeft dat “een paar actieve infecties van de ransomware begon aanvankelijk vanuit het legitieme MEDoc-updaterproces.” Dit type infectie neemt volgens Microsoft toe trend.
Welke systemen lopen gevaar?
Voorlopig lijkt de NotPetya-ransomware zich te richten op het aanvallen van Windows-pc's in organisaties. Het hele stralingsmonitoringsysteem in de kerncentrale van Tsjernobyl was dat bijvoorbeeld offline gegaan tijdens de aanval. Hier in de Verenigde Staten, de aanval raakt het hele Heritage Valley Health System, wat gevolgen heeft voor alle faciliteiten die afhankelijk zijn van het netwerk, inclusief de Beaver- en Sewickley-ziekenhuizen in Pennsylvania. De luchthaven Kiev Boryspil in Oekraïne vluchtschema geleden vertragingen op en de website werd vanwege de aanval offline gehaald.
Helaas is er geen informatie die verwijst naar de exacte versies van Windows waarop de NotPetya-ransomware zich richt. Het beveiligingsrapport van Microsoft vermeldt geen specifieke Windows-releases, hoewel klanten er voor de zekerheid van uit moeten gaan dat alle commerciële en reguliere versies van Windows, van Windows XP tot Windows 10, onder de aanval vallen raam. Tenslotte zelfs WannaCry richtte zich op machines waarop Windows XP was geïnstalleerd.
Tegen wie bescherm jij jezelf?
Microsoft heeft al updates uitgebracht die de EternalBlue- en EternalRomance-exploits blokkeren die bij deze nieuwste malware-uitbraak zijn gebruikt. Microsoft heeft beide op 14 maart 2017 aangepakt met de release van beveiligingsupdate MS17-010. Dat was meer dan drie maanden geleden, wat betekent dat bedrijven die door NotPetya zijn aangevallen via deze exploit nog moeten updaten hun pc's. Microsoft raadt klanten aan beveiligingsupdate MS17-010 onmiddellijk te installeren als ze dat nog niet hebben gedaan al.
Het installeren van de beveiligingsupdate is de meest effectieve manier om uw pc te beschermen
Voor organisaties die de beveiligingsupdate nog niet kunnen toepassen, zijn er twee methoden die de verspreiding van de NotPetya-ransomware kunnen voorkomen: Server Message Block versie 1 volledig uitschakelenen/of het creëren van een regel in de router of firewall die binnenkomend Server Message Block-verkeer op poort 445 blokkeert.
Er is er nog één eenvoudige manier om infectie te voorkomen. Start op Bestandsverkenner openen en het laden van de Windows-map, meestal "C:\Windows". Daar zul je moeten creëren een bestand met de naam “perfc” (ja zonder extensie) en stel de machtigingen in op “Alleen lezen” (via Algemeen/Attributen).
Er is natuurlijk geen echte optie om een nieuw bestand in de Windows-map te maken, alleen de optie Nieuwe map. De beste manier om dit bestand te maken is door Kladblok te openen en een leeg “perfc.txt”-bestand op te slaan in de Windows-map. Verwijder daarna eenvoudigweg de extensie “.txt” uit de naam, accepteer de pop-upwaarschuwing van Windows en klik met de rechtermuisknop op het bestand om de machtigingen te wijzigen in “Alleen lezen”.
Wanneer NotPetya dus een pc infecteert, scant het de Windows-map op zoek naar dat specifieke bestand, dat feitelijk een van zijn eigen bestandsnamen is. Als het perfc-bestand al aanwezig is, gaat NotPetya ervan uit dat het systeem al geïnfecteerd is en inactief wordt. Nu dit geheim echter openbaar is geworden, kunnen hackers teruggaan naar de tekentafel en de NotPetya-ransomware herzien zodat deze afhankelijk is van een ander bestand.
Aanbevelingen van de redactie
- Met dit spel kunnen hackers je pc aanvallen, zonder dat je het hoeft te spelen
- Wees op je meest productief met deze Slack-tips en -trucs
