image

Bedrijven wereldwijd besmet met Petya-ransomware - update

dinsdag 27 juni 2017, 15:58 door Redactie, 56 reacties
Laatst bijgewerkt: 27-06-2017, 21:43

Wereldwijd zijn allerlei bedrijven besmet geraakt met een variant van de Petya-ransomware, ook wel GoldenEye genoemd, die zowel bestanden als 'ntfs-structuren' versleutelt, waardoor systemen uiteindelijk onbruikbaar achterblijven. Hoe de ransomware zich verspreidt is op dit moment nog niet duidelijk, maar het Roemeense anti-virusbedrijf Bitdefender gaat uit van een worm.

In tegenstelling tot de meeste andere ransomware-exemplaren maakt de nu actieve Petya-variant gebruik van twee encryptielagen. De eerste laag versleutelt de bestanden op de computer, terwijl de tweede laag de ntfs-structuren versleutelt. Na het versleutelen past de ransomware een speciale routine toe die de computer laat crashen en een herstart veroorzaakt, waardoor de computer onbruikbaar achterblijft totdat de 300 dollar losgeld is betaald. Onder andere containerterminals in Rotterdam werden door de ransomware getroffen.

De GoldenEye-ransomware komt volgens Bitdefender voort uit twee ransomware-exemplaren genaamd Petya en Mischa, waar vorig jaar mei voor werd gewaarschuwd. Deze ransomware-exemplaren gebruikten echter e-mailbijlagen om zich te verspreiden. Petya versleutelt de master file table (MFT) van de harde schijf, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart. Net zoals Petya versleutelt GoldenEye de gehele harde schijf en blokkeert vervolgens toegang tot de computer. In tegenstelling tot Petya is er geen oplossing om bestanden te ontsleutelen, aldus Bitdefender.

Update

Beveiligingsonderzoeker Rickey Gevers meldde eerst dat de ransomware zich via Excel-documenten verspreidde, maar heeft deze tweet verwijderd en laat nu weten dat de EternalBlue-exploit wordt gebruikt.

Update 2

Costin Raiu, directeur van het Global Research and Analysis Team van Kaspersky Lab, laat op Twitter weten dat de ransomware een valse digitale handtekening van Microsoft gebruikt die van de Sysinternals Suite is gekopieerd. Dit is een verzameling tools van Microsoft voor onder andere het onderzoeken en beheren van Windowscomputers.

Update 3

De premier van de Oekraïne Volodymyr Groysman laat op Facebook weten dat het om een "ongekende aanval" gaat waarbij banken, servers van het kabinet, telecom- en postbedrijven zijn getroffen.

Update 4

Spaanse media berichten dat er ondernemingen in het land door de ransomware zijn geraakt. Ook advocatenkantoor DLA Piper is getroffen, meldt Legal Week.

Update 5

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie zegt de situatie in de gaten te houden."Het NCSC heeft nauw contact met relevante sectoren en CERT's (Computer Emergency Response Teams) in andere landen over deze aanval. Momenteel wordt onderzocht welke ransomware is gebruikt en op welke wijze systemen geïnfecteerd worden." Het NCSC meldt verder dat er nog geen analyse is van hoe GoldenEye zich verspreidt. Volgens de Britse krant The Independent is het systeem waarmee de straling in Tsjernobyl wordt gemonitord ook door de ransomware geïnfecteerd geraakt.

Update 6

Securitybedrijf Fox-IT meldt in een liveblog over de situatie dat GoldenEye (Petya) in Nederland een grotere impact lijkt te hebben dan WannaCry.

Update 7

Het Russische anti-virusbedrijf Kaspersky Lab meldt in een gemaild persbericht dat uit voorlopig onderzoek blijkt dat het NIET om een variant van de Petya-ransomware gaat zoals in eerste instantie werd gemeld, maar dat het om een geheel nieuw ransomware-exemplaar gaat. Daarom heeft de virusbestrijder het de naam NotPetya gegeven. Uit eigen cijfers blijkt dat zo'n 2.000 gebruikers zijn aangevallen. Organisaties in Rusland en de Oekraïne zijn het zwaarst getroffen.

Kaspersky Lab spreekt over een complexe aanval die uit verschillende aanvalsvectoren bestaat, waaronder een aangepaste EternalBlue-exploit om zich binnen het bedrijfsnetwerk te verspreiden. Het anti-virusbedrijf adviseert organisatie om via de AppLocker-feature van Windows de PsExec-tool van de Sysinternals Suite te blokkeren. De ransomware zou onder andere deze tool van Microsoft gebruiken om zich binnen netwerken te verspreiden.

Update 8

Een onderdeel van snoepfabrikant Mars is ook door de ransomware getroffen. Het gaat om Royal Canin, dat voedsel voor huisdieren produceert, zo laat het bedrijf in een verklaring tegenover persbureau Reuters weten. De infectie zou inmiddels zijn geïsoleerd. Verschillende Amerikaanse ziekenhuizen melden dat hun systemen ook besmet zijn geraakt, alsmede medicijnfabrikant Merck.

Update 9

Kaspersky Lab heeft ook een blogpost over de infectie online gezet. Daarin wordt gemeld dat de ransomware zich verspreidt via een aangepaste EternalBlue-exploit, een aanval tegen de updatefunctie van een Oekraïens softwareprogramma genaamd MeDoc en de EternalRomance-exploit van de NSA. Daarnaast wordt er een soort Mimikatz-achtige tool gebruikt voor het stelen van inloggegevens uit het lsass.exe-proces. Deze gestolen inloggegevens worden vervolgens door de PsExec-tool of WMIC gebruikt om de ransomware binnen een netwerk te verspreiden. PsExec wordt omschreven als een vervanging van telnet waarmee processen op andere systemen kunnen worden uitgevoerd.

"Een enkele besmette machine op het netwerk met inloggegevens van een beheerder kan de infectie via WMI of PsExec onder alle andere computers verspreiden", zo waarschuwt de virusbestrijder. Verder wacht de ransomware 10 tot 60 minuten met het herstarten van het systeem. Daarna wordt de MFT-tabel in de NTFS-partities versleuteld en de MBR-loader overschreven met de losgeldmelding. De encryptie maakt volgens Kaspersky Lab gebruik van een gedegen standaard encryptieroutine, waardoor de kans klein is dat er fouten zijn gemaakt waardoor slachtoffers hun bestanden kunnen terugkrijgen.

Update 10

Het Oekraïense softwarebedrijf dat het programma M.E.Doc ontwikkelt ontkent in een bericht op Facebook dat de updatefunctie van de software is gebruikt om de ransomware onder organisaties te verspreiden, ook al laten verschillende experts en securitybedrijven weten dat dit wel het geval is. Op de eigen website waarschuwt het bedrijf echter dat de servers zijn gebruikt voor het uitvoeren van een 'virusaanval'. M.E.Doc is financiële software die vooral veel binnen de Oekraïne wordt gebruikt.

Image

Reacties (56)
27-06-2017, 16:03 door Dystopia
Nu is het nog software en data. Wacht maar tot het straks ook om hardware gaat... BIOS gewist, USB controllers gesloopt, Videokaarten gesloopt, netwerk kaarten gesloopt, monitoren gesloopt, etc, etc.... Wordt nog leuker met Internet of Things straks. Koelkast stuk, Wasmachine stuk, Droger stuk, Vaatwasser stuk, Alarm stuk, mobiele telefoon gesloopt, etc, etc
27-06-2017, 16:04 door Dystopia
NAS stuk, Auto stuk, SAN Storage stuk, etc, etc
27-06-2017, 16:08 door Anoniem
Door Dystopia:Koelkast stuk, Wasmachine stuk, Droger stuk, Vaatwasser stuk, Alarm stuk, mobiele telefoon gesloopt, etc, etc

Door Dystopia: NAS stuk, Auto stuk, SAN Storage stuk, etc, etc

Ziekenhuizen stuk, energiecentrales stuk, mediabedrijven stuk, watervoorzieningen stuk, raketsilo's stuk, ... de wereld stuk!
27-06-2017, 16:15 door Xhendos
Zouden ze van de fout van WannaCry geleerd hebben waarin gegevens van de encryptie in RAM stonden en daarom een reboot doen?
27-06-2017, 16:17 door Anoniem
Uit https://labs.bitdefender.com/2017/06/massive-goldeneye-ransomware-campaign-slams-worldwide-users/:
Bitdefender blocks the currently known samples of the new GoldenEye variant. If you are running a Bitdefender security solution for consumer or business, your computers are not in danger.
Waarom op dit moment hier dan nog niet? https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/1498572586/

En om 12:06 NL tijd slechts 2 (minder bekende) scanners: https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/1498557982/

Je bent gewoon kansloos met alleen een virusscanner.
27-06-2017, 16:31 door Anoniem
Door Xhendos: Zouden ze van de fout van WannaCry geleerd hebben waarin gegevens van de encryptie in RAM stonden en daarom een reboot doen?
Nee de reboot is om te laten starten van de nieuwe mbr
27-06-2017, 16:36 door Dystopia
Toch maar deep neural networking inzetten? Die technologie pakte m wel blijkbaar ... https://www.ransomware-verwijderen.nl/wannacry.html
27-06-2017, 16:38 door Anoniem
Komt ervan als je niet overstapt van Windhoos.
27-06-2017, 16:57 door Anoniem
For those wondering how malware analysts work.
https://twitter.com/UID_/status/879702464232116226

Op een Mac natuurlijk
(maar geen windows draaien want anders ben je nog steeds de l*l.)
27-06-2017, 17:03 door Anoniem
Door Anoniem: Uit https://labs.bitdefender.com/2017/06/massive-goldeneye-ransomware-campaign-slams-worldwide-users/:
Bitdefender blocks the currently known samples of the new GoldenEye variant. If you are running a Bitdefender security solution for consumer or business, your computers are not in danger.
Waarom op dit moment hier dan nog niet? https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/1498572586/

Omdat Virustotal voor zover ik weet werkt met een aantal machines met de command line scanners erop van de diverse leveranciers. Die vinden altijd minder dan een compleet werkende endpoint.
27-06-2017, 17:03 door Anoniem
Heb nog een link van Yonathan Klijnsma. Foto is gemaakt in een supermarkt.
https://twitter.com/ydklijnsma/status/879715473797111808
27-06-2017, 17:10 door Anoniem
Beveiligingsonderzoeker Rickey Gevers meldde eerst dat de ransomware zich via Excel-documenten verspreidde, maar heeft deze tweet verwijderd en laat nu weten dat de EternalBlue-exploit wordt gebruikt.

Kunnen de slachtoffers de rekening van gemaakte kosten mooi doorsturen naar de makers van de SMB exploit EternalBlue.
Moet kunnen, schijnen ruim in de financiele middelen te zitten.
https://www.security.nl/posting/512566/NCSC+waarschuwt+voor+onlangs+gelekte+NSA-backdoor
Misschien damt het wereldwijd oorlog digitaal oorlog voeren met het corrumperen van digitale systemen dan wat in.
Duitsland heeft immers ooit ook herstelbetalingen moeten verrichten, dan nu de andere kant ook.
Dokken.
27-06-2017, 17:13 door Anoniem
Beveiligingsonderzoeker Rickey Gevers meldde eerst dat de ransomware zich via Excel-documenten verspreidde, maar heeft deze tweet verwijderd en laat nu weten dat de EternalBlue-exploit wordt gebruikt.

Bedankt hè NSA...
27-06-2017, 17:32 door Anoniem
Dan gaan we met z'n allen weer rond het kampvuur zitten en zingen over de mosselman... :o)
27-06-2017, 18:00 door Anoniem
Door Anoniem:
Door Anoniem: Uit https://labs.bitdefender.com/2017/06/massive-goldeneye-ransomware-campaign-slams-worldwide-users/:
Bitdefender blocks the currently known samples of the new GoldenEye variant. If you are running a Bitdefender security solution for consumer or business, your computers are not in danger.
Waarom op dit moment hier dan nog niet? https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/1498572586/

Omdat Virustotal voor zover ik weet werkt met een aantal machines met de command line scanners erop van de diverse leveranciers. Die vinden altijd minder dan een compleet werkende endpoint.
Dat is een fabel die de antivirus industrie graag in stand houdt. Je hebt een klein kansje op heuristische detectie zodra de malware draait op je systeem, maar vaak is er dan al schade aangericht. Zover wil je het gewoon niet laten komen.

De Petya binary scoorde bijna 6 uur geleden 2/61 [1], en je ziet dat AV boeren als een speer detecties maken - want enkele minuten geleden was het al 16/61 [2].

[1] https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/1498557982/
[2] https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/1498579019/
27-06-2017, 18:22 door karma4
Toch weer smbv1 en open poorten alles al bekend. Zie laatste artikel van de redactie hierover.
Dat is het enige wat overblijft falend ict secùrity informatieveiligheid. Dat is gewoon os onafhankelijk.
De nist hardening richtlijnen voor Unix/linux noemt dat soort zaken al jaren en die komen ook echt niet door naar de vloer.
27-06-2017, 18:59 door Anoniem
Door karma4:

gewoon os onafhankelijk.


Geen bullshit verkondigen : dit is een windows probleem : WINDOWS computers worden MASSAAL BESMET
27-06-2017, 19:10 door Anoniem
Door karma4: Toch weer smbv1 en open poorten alles al bekend. Zie laatste artikel van de redactie hierover.
Dat is het enige wat overblijft falend ict secùrity informatieveiligheid. Dat is gewoon os onafhankelijk.

Deels, het ene OS is nou eenmaal bevattelijker dan het andere en dat heeft natuurlijk voor een deel te maken met de populariteit van dat OS.


De nist hardening richtlijnen voor Unix/linux noemt dat soort zaken al jaren en die komen ook echt niet door naar de vloer.

"De nist hardening ...." ??? Huh. Probeer toch eens iets aan de leesbaarheid van je postings te doen.
27-06-2017, 19:36 door Anoniem
Ik noemde het een poosje geleden nog "erger dan een Atoombom" en werd voor gek uitgemaakt.
In potentie kan dit virus/worm meer slachtoffers maken dan beide (tot dusver gebruikte) atoombommen bij elkaar.
27-06-2017, 19:58 door Anoniem
"Deze ransomware-exemplaren gebruikten echter e-mailbijlagen om zich te verspreiden."

Wordt hier bedoeld dat het zichzelf als een email worm verspreidt?

Ongeacht het antwoord op de vorige vraag: Heeft iemand een link naar (een beschrijving van) de email als bron van de besmetting?
27-06-2017, 20:28 door Anoniem
Vooral Oekraïne is zwaar getroffen. Vrijwel het gehele computernetwerk van de overheid ligt daar plat. Ook Oekraïense banken en grote bedrijven zijn doelwit geworden, waaronder de beheerder van het Oekraïense elektriciteitsnet, vliegtuigfabrikant Antonov en de luchthaven van de hoofdstad Kiev. In buurland Rusland is onder meer oliemaatschappij Rosneft getroffen.
http://www.telegraaf.nl/dft/28489276/__Cyberaanval_treft_wereld__.html
27-06-2017, 20:50 door Tha Cleaner
Volgens mcafee zou RDP misbruikt kunnen worden. Dat zou kunnen verklaren waarom het nu zo snel rond gaat een zeroday exploit.

https://kc.mcafee.com/corporate/index?page=content&id=KB89540

The propagation method appears to be via the Remote Desktop Protocol (RDP) and/or Server Message Block (SMB) protocols

Het is nog niet officeel bevestigt, maar zou wel iets kunnen verklaren. Heb net hier al op alle machines RDP via een GPO geblockeerd.
27-06-2017, 20:53 door Anoniem
Door Tha Cleaner: Volgens mcafee zou RDP misbruikt kunnen worden. Dat zou kunnen verklaren waarom het nu zo snel rond gaat een zeroday exploit.

https://kc.mcafee.com/corporate/index?page=content&id=KB89540

The propagation method appears to be via the Remote Desktop Protocol (RDP) and/or Server Message Block (SMB) protocols

Het is nog niet officeel bevestigt, maar zou wel iets kunnen verklaren. Heb net hier al op alle machines RDP via een GPO geblockeerd.

Tja, een zero day ... of zou de NSA diet lek ook al kennen?
27-06-2017, 21:24 door [Account Verwijderd]
[Verwijderd]
27-06-2017, 21:25 door Anoniem
Schakel ogenblikkelijk WMIC uit zegt onderzoeker op twitter:
https://twitter.com/0x09AL/status/879703568042909696
27-06-2017, 21:36 door Anoniem
En jahoor, killswitch is gevonden:

https://twitter.com/joe4security/status/879782177986101249
27-06-2017, 21:55 door Anoniem
lol het was al gepatched op 14 maart
27-06-2017, 21:57 door Anoniem
Door Clarence322:
Door Anoniem:
Bedankt hè NSA...

En met deze reactie geef je dus duidelijk aan dat je er geen ruk van snapt. NSA heeft inderdaad de exploit 'gevonden' maar het was de groep ShadowBrokers die het zo op het internet heeft gemikt. Het was verstandiger geweest van hen om eerst Microsoft in te lichten en tijd te geven dit te patchen en daarna pas alles op het net te kwakken. Is al tig keer geschreven!
En met deze reactie geef jij aan dat je niet weet waar je over schrijft.

ShadowBrokers is een club criminelen, die gaan Microsoft echt nergens over inlichten. Dat was ook niet nodig, want vermoedelijk heeft de NSA zelf , na het bekend worden van de diefstal, Microsoft ingelicht.

Daarna heeft Microsoft patch MS17-010 gemaakt. Die was met patchdinsdag van februari vermoedelijk onvoldoende getest waardoor Microsoft op het laatste moment besloten heeft om die hele patchdinsdag van februari niet door te laten gaan. Vervolgens is MS17-010 op patchdinsdag van maart publiekelijk beschikbaar gekomen, ook voor klanten met betaalde verlengde support voor XP en 2k3.

Na Wannacry heeft Microsoft MS17-010 ook voor niet betalende XP en 2k3 klanten beschikbaar gesteld. De digitale handtekeningen onder die patches zijn gezet op zaterdag 11 februari, vlak voor patchdinsdag dus, maar ruim voordat ShadowBrokers de exploits op internet publiceerde.

Ik vermoed overigens niet dat EternalBlue de belangrijkste wormconponent is, maar de kennelijk toegepaste PtH (Pass-the-Hash) techniek (zoals mimikatz ook doet). Hierbij worden op computers gecachte admin wachtwoordhashes gebruikt om op andere computers in het netwerk in te loggen en bijv. via psexec code op die systemen te starten.

W10 zou aanvullende maatregelen tegen PtH hebben, maar ik meen ergens gelezen te hebben dat dit alleen voor de enterprise versie of zo zou gelden.

Ik ken geen eerdere worm die van cached admin credentials gebruik maakte, iemand?
27-06-2017, 22:04 door Anoniem
@ Clarence322,

Maar de NSA is 5 jaar op deze gouden zero-day blijven zitten en kon dus wachten op proliferatie. De infrastructuur verzieken, je niet houden aan de Amerikaanse constitutie, die voor alle andere Amerikaanse wezens wel geldt en niet ter verantwoording mogen worden geroepen, want geen responsible disclosure. Ga je voor dat soort lui in de bres springen, bah!

Hoe zout wil je het gegeten hebben, wie wil je beschermen, gasten die Microsoft onder een hoedje moeten laten spelen met deep state of cybercriminelen, die er lucht van krijgen?

Dit gapend gat had al veel eerder moeten worden gepatched en er zijn er nog 39 miljoen servers die dat niet hebben gedaan. Wat veroorzaakt men voor economische schade en wat verdient men weer aan de mitigatie van dit soort ongein. Waar een grote natie klein in kan zijn.

Maar ja als er 20 miljoen mensen zijn die denken dat chocolademelk alleen van bruine koeien komt, mag je je hoop ook niet te al te hoog stellen.

Hoe lang bestaat het dubbel extensie probleem al bij Microsoft? Nu zou het na jaren in augustus gepatched worden, Ik ziet het vooralsnog nog niet gebeuren, want wel handig toch. Het is maar wat voor agenda je hebt.
27-06-2017, 22:05 door Anoniem
Door Anoniem: Ik noemde het een poosje geleden nog "erger dan een Atoombom" en werd voor gek uitgemaakt.
In potentie kan dit virus/worm meer slachtoffers maken dan beide (tot dusver gebruikte) atoombommen bij elkaar.
Hier mee kun je een land lam leggen, en dat is voor veel mensen moeilijk te begrijpen.
27-06-2017, 22:13 door Anoniem
Graag nuttige informatie, met name: welke systemen zijn hier voor kwetsbaar? Met paniekberichten kunnen we weinig. Het NCSC schiet hierin wederom tekort. Met "Het Nationaal Cyber Security Centrum (NCSC) houdt de situatie nauwlettend in de gaten" schieten we niets op. Ik verwacht niet anders: dat is hun werk; daarvoor zijn ze in het leven geroepen.
Moeten we nu wat doen, of lopen we geen gevaar?

"Sluit ramen en deuren en wacht op instructies". Vervolgens fikt de boel af.
27-06-2017, 22:17 door Anoniem
Door Anoniem: "Deze ransomware-exemplaren gebruikten echter e-mailbijlagen om zich te verspreiden."

Wordt hier bedoeld dat het zichzelf als een email worm verspreidt?

Ongeacht het antwoord op de vorige vraag: Heeft iemand een link naar (een beschrijving van) de email als bron van de besmetting?

Goede vraag: hoe wordt het verspreid? Wie loopt gevaar? Met de antwoorden kunnen we wat, met de rest niet.
27-06-2017, 22:23 door Anoniem
Door Anoniem: Graag nuttige informatie, met name: welke systemen zijn hier voor kwetsbaar? Met paniekberichten kunnen we weinig. Het NCSC schiet hierin wederom tekort. Met "Het Nationaal Cyber Security Centrum (NCSC) houdt de situatie nauwlettend in de gaten" schieten we niets op. Ik verwacht niet anders: dat is hun werk; daarvoor zijn ze in het leven geroepen.
Moeten we nu wat doen, of lopen we geen gevaar?

"Sluit ramen en deuren en wacht op instructies". Vervolgens fikt de boel af.

Misschien omdat de informatie nog niet goed beschikbaar is?
Goede analyse kost tijd... Veel tijd...
27-06-2017, 22:41 door Anoniem
Door karma4:.. Dat is gewoon os onafhankelijk..
Mijn Linux-computertje loopt ook gevaar op een windows-virusje? Denk het niet. Ik denk dat mijn Linux-computertje het virusje gewoon verder de wijde wereld in schopt zonder dat hij/zij er iets van gemerkt heeft.
27-06-2017, 22:42 door Anoniem
Door Anoniem: Graag nuttige informatie, met name: welke systemen zijn hier voor kwetsbaar? Met paniekberichten kunnen we weinig. Het NCSC schiet hierin wederom tekort. Met "Het Nationaal Cyber Security Centrum (NCSC) houdt de situatie nauwlettend in de gaten" schieten we niets op. Ik verwacht niet anders: dat is hun werk; daarvoor zijn ze in het leven geroepen.
Moeten we nu wat doen, of lopen we geen gevaar?

"Sluit ramen en deuren en wacht op instructies". Vervolgens fikt de boel af.
Misschien is dit nuttig:
https://securelist.com/schroedingers-petya/78870/
27-06-2017, 23:01 door Bitwiper
Door Anoniem: Goede vraag: hoe wordt het verspreid?
Daarover bestaat nog geen duidelijkheid, maar dit lijkt mij minder belangrijk dan voorkomen dat een worm door je netwerk dendert. Individuele besmettingen proberen te voorkomen is zeer lastig, tenzij je het acceptabel vindt om e-mail, internet connectiviteit (ook voor allerlei automatische updates) en USB-sticks te verbieden.

Door Anoniem: Wie loopt gevaar?
1) Als de worm inderdaad PtH (Pass-the-Hash) credentials gebruikt om op andere systemen in te kunnen loggen en bijv. met PSExec code daarop te starten, dan zijn bedrijven met AD domein-gekoppelde PC kwetsbaar indien deze malware gestart wordt op een PC die aan de volgende voorwaarden voldoet:
- Op de PC is een Domain Admin ingelogd en hij start de malware;
-OF-
a) Op de PC is een highly privileged user (t/m domain admins) lokaal of bijv. via RDP op ingelogd geweest die ook, via het netwerk, als admin op andere computers (aan dat netwerk) kan inloggen;
b) EN waarvan de SID + wachtwoordhash gecached zijn op de PC [*];
c) EN de user die de malware aanvankelijk start lokale admin rechten heeft (wellicht niet nodig als de malware ook een werkende privilege escalation exploit aan boord heeft).

[*] Windows bewaart by default de hashes van de laatste 10 users die ingelogd zijn geweest, zodat zij later ook kunnen inloggen als er geen DC (Domain Controller) beschikbaar is (bijv. een notebook buiten het pand). Met een policy kun je het aantal te cachen accounts verlagen tot bijv. 1.

2) Als EternalBlue een van de andere wormfuncties is, zijn die PC's kwetsbaar waar MS17-010 niet (succesvol) op is geïnstalleerd. Denkbaar is ook dat in deze (of toekomstige) malware een RCE exploit gebruikt wordt waarvoor Microsoft afgelopen patchdinsdag een update heeft uitgebracht die (naast een aantal privilege escalation en DoS kwetsbaarheden ongedaan maakt) de volgende 4 RCE (Remote Code Execution) lekken in srv.sys (server service) verhelpt:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0272
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0277
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0278
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0279

Tip: zet de server service uit! Dan kan niemand over SMB via het netwerk op die computer inloggen en/of exploits in srv.sys (de server service) ten uitvoer brengen.
27-06-2017, 23:54 door Anoniem
Vaccine, not Killswitch, Found for Petya (NotPetya) Ransomware Outbreak

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
28-06-2017, 00:03 door SecGuru_OTX
Bron: Fox-IT, Bleepingcomputer, Kaspersky, Cisco, ESET, MalwareHunterteam.

Cisco Talos reports that the infections started in Ukraine following the auto-update feature of software by the Ukrainian company Me-Doc. Attackers likely got access to the Me-Doc update servers, using the update feature of the software to infect all their, mostly Ukrainian customers. This explains the disruptions observed within various Ukrainian companies, including airports, hospitals and other vital infrastructure. This supports what Fox-IT is observing, affected companies have business in Ukraine and observed initial Petya activity from those networks.

Because of the various spreading mechanisms of Petya the ransomware managed to reach companies in other countries, most likely as a result of existing network connections between (branch) offices or suppliers.
28-06-2017, 02:44 door Anoniem
Door Bitwiper:
Door Anoniem: Goede vraag: hoe wordt het verspreid?
Daarover bestaat nog geen duidelijkheid, maar dit lijkt mij minder belangrijk dan voorkomen dat een worm door je netwerk dendert. Individuele besmettingen proberen te voorkomen is zeer lastig, tenzij je het acceptabel vindt om e-mail, internet connectiviteit (ook voor allerlei automatische updates) en USB-sticks te verbieden.

Door Anoniem: Wie loopt gevaar?
1) Als de worm inderdaad PtH (Pass-the-Hash) credentials gebruikt om op andere systemen in te kunnen loggen en bijv. met PSExec code daarop te starten, dan zijn bedrijven met AD domein-gekoppelde PC kwetsbaar indien deze malware gestart wordt op een PC die aan de volgende voorwaarden voldoet:
- Op de PC is een Domain Admin ingelogd en hij start de malware;
-OF-
a) Op de PC is een highly privileged user (t/m domain admins) lokaal of bijv. via RDP op ingelogd geweest die ook, via het netwerk, als admin op andere computers (aan dat netwerk) kan inloggen;
b) EN waarvan de SID + wachtwoordhash gecached zijn op de PC [*];
c) EN de user die de malware aanvankelijk start lokale admin rechten heeft (wellicht niet nodig als de malware ook een werkende privilege escalation exploit aan boord heeft).

[*] Windows bewaart by default de hashes van de laatste 10 users die ingelogd zijn geweest, zodat zij later ook kunnen inloggen als er geen DC (Domain Controller) beschikbaar is (bijv. een notebook buiten het pand). Met een policy kun je het aantal te cachen accounts verlagen tot bijv. 1.

2) Als EternalBlue een van de andere wormfuncties is, zijn die PC's kwetsbaar waar MS17-010 niet (succesvol) op is geïnstalleerd. Denkbaar is ook dat in deze (of toekomstige) malware een RCE exploit gebruikt wordt waarvoor Microsoft afgelopen patchdinsdag een update heeft uitgebracht die (naast een aantal privilege escalation en DoS kwetsbaarheden ongedaan maakt) de volgende 4 RCE (Remote Code Execution) lekken in srv.sys (server service) verhelpt:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0272
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0277
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0278
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0279

Tip: zet de server service uit! Dan kan niemand over SMB via het netwerk op die computer inloggen en/of exploits in srv.sys (de server service) ten uitvoer brengen.

Maar geen antwoord op de vragen, dus schieten we er niets mee op.
28-06-2017, 05:46 door karma4 - Bijgewerkt: 28-06-2017, 06:01
Door Anoniem:
Deels, het ene OS is nou eenmaal bevattelijker dan het andere en dat heeft natuurlijk voor een deel te maken met de populariteit van dat OS.
....
"De nist hardening ...." ??? Huh. Probeer toch eens iets aan de leesbaarheid van je postings te doen.
Het zijn uitstekende zoektermen gebruik ze maar eens.
"nist hardening linux" dan wel Windows neem er wat goed door met als doel dat je die open source kennis begrijpt.
Sp800-123 is een goede start.

Er zijn veel te veel "security" mensen die feitelijk enkel met os flaming bezig zijn. Zo'n beetje zoals dat chocolademelk van bruine koeien komt of dat evolutieleer verboden moet worden omdat het te moeilijk is.
28-06-2017, 09:09 door [Account Verwijderd]
[Verwijderd]
28-06-2017, 09:14 door Bitwiper
Door Anoniem:
Door Bitwiper: [knip]zie boven[/knip]
Maar geen antwoord op de vragen, dus schieten we er niets mee op.
Hoezo geen antwoord op de vragen? Welke vragen bedoel je dan? Ik heb geen kristallen bol en ervaar zo'n reactie niet bepaald als een aanmoediging om mijn kennis in mijn vrije tijd te delen...
28-06-2017, 09:34 door [Account Verwijderd] - Bijgewerkt: 28-06-2017, 09:36
[Verwijderd]
28-06-2017, 09:53 door ph-cofi
Door karma4:
Door Anoniem:
Deels, het ene OS is nou eenmaal bevattelijker dan het andere en dat heeft natuurlijk voor een deel te maken met de populariteit van dat OS.
....
"De nist hardening ...." ??? Huh. Probeer toch eens iets aan de leesbaarheid van je postings te doen.
Het zijn uitstekende zoektermen gebruik ze maar eens.
"nist hardening linux" dan wel Windows neem er wat goed door met als doel dat je die open source kennis begrijpt.
Sp800-123 is een goede start. (...)
Interessant,
Gezocht op "nist hardening windows" kom ik op een 10 jaar oude pagina:
http://nist.org/news.php?extend.204

Gezocht op sp800-123:
http://dx.doi.org/10.6028/NIST.SP.800-123
Een document met algemene richtlijnen, helaas wel 9 jaar oud document, zou NIST geen documenten hebben die ingaan op actuele situatie en recente Windows versies?
28-06-2017, 09:54 door Anoniem
Ik heb een kloon in de kast liggen, zolang er niets mis gaat met de hardware ben ik gered.
28-06-2017, 10:04 door [Account Verwijderd] - Bijgewerkt: 28-06-2017, 10:21
[Verwijderd]
28-06-2017, 10:58 door Bitwiper
Door Neb Poorten:
Door Bitwiper:
Door Anoniem:
Door Bitwiper: [knip]zie boven[/knip]
Maar geen antwoord op de vragen, dus schieten we er niets mee op.
Hoezo geen antwoord op de vragen? Welke vragen bedoel je dan? Ik heb geen kristallen bol en ervaar zo'n reactie niet bepaald als een aanmoediging om mijn kennis in mijn vrije tijd te delen...

Zie hieronder. Er zijn ook berichten dat Petya administratieve toegang nodig heeft dus wanneer je werkt vanuit een beperkt account (zonder admin rechten) dan scheelt dat ook veel.
Uhh? Dat schreef ik.
- Op de PC is een Domain Admin ingelogd en hij start de malware;
-OF-
a) Op de PC is een highly privileged user (t/m domain admins) lokaal of bijv. via RDP op ingelogd geweest die ook, via het netwerk, als admin op andere computers (aan dat netwerk) kan inloggen;
b) EN waarvan de SID + wachtwoordhash gecached zijn op de PC [*];
c) EN de user die de malware aanvankelijk start lokale admin rechten heeft (wellicht niet nodig als de malware ook een werkende privilege escalation exploit aan boord heeft).
28-06-2017, 11:18 door [Account Verwijderd] - Bijgewerkt: 28-06-2017, 11:19
[Verwijderd]
28-06-2017, 20:57 door Anoniem
Intussen, dump van Petya 'low-level'-deel: https://virustotal.com/fr/file/b5d2ad3c7758f58aa329243af4ce4a906771a1a199210ed0c61f82d47edb3b1d/analysis/1498584989/
28-06-2017, 21:06 door karma4
Door Neb Poorten:
Door Bitwiper: Uhh? Dat schreef ik.

Veel te ingewikkeld verwoord, dat snapt toch geen mens...
Dat zou een voor een secùrity specialist met oog voor informatieveiligheid gesneden koek moeten zijn.
28-06-2017, 21:18 door karma4 - Bijgewerkt: 28-06-2017, 21:23
Door ph-cofi:

Gezocht op sp800-123:
http://dx.doi.org/10.6028/NIST.SP.800-123
Een document met algemene richtlijnen, helaas wel 9 jaar oud document, zou NIST geen documenten hebben die ingaan op actuele situatie en recente Windows versies?
Klopt dat het al 9 jaar oud is. De basis uitgangspunten zijn grotendeels het zelfde gebleven. Dat is hetgeen door linux beheerders gewoon gefrustreerd wordt. De inhoud komt overigens grotendeels overeen met iso27k het is bij nist wat technischer uitgewerkt.

Voor Windows wordt ook gewoon aan doorgewerkt. Zoeken op de site nist.gov moet toch lukken.
Een voorbeeld https://nvd.nist.gov/ncp/checklist/629 voor w10 en zeer recent. Nist kun je zien als het ncsc allen is het daar wat groter. Je vind de zaken ook terug op sans.org
28-06-2017, 22:33 door [Account Verwijderd]
[Verwijderd]
28-06-2017, 23:00 door Anoniem
Ho, ho, de naam is thans gewijzigd het heet nu NoPetya.

Het zou misschien beter zijn geweest, dat Windows hier in deze omgevingen "embedded" zou worden gebruikt.
Zou het in een chrome OS omgeving ook zo zijn gebeurd? Misschien is het Windows OT prijs gerelateerd en
vaak zit men ook vast aan Microsoft bij bedrijfstoepassingen, want van consumentencomputers die besmet zijn, heb ik niet gehoord.

Het zou ook best wel eens zo kunnen zijn geweest dat het om een gefrusteerde IT-er is gegaan en de aanval
gericht was tegen 1 doel, bijvoorbeeld MAERSK en dan verder is ontsnapt en uit de hand gelopen.

Het lijkt in ieder geval geen werk van echte cybercriminelen a la Russian Business, de reden dat het mail adres is down gehaald, zou wel eens kunnen zijn gedaan om de echte verspreiders te willen verhullen. Nu horen we niets meer daarover, denk ik.

De ransomeware versleuteling lijkt identiek aan die van gewone ransomeware verspreiders. Er werden twee mogelijke wijzen van verspreiding gevolgd, de smb1 weg en een andere via het forceren van admin toegang.

Lijkt me een thema voor een leuke film, wie zaten achter deze infratstructuur ontwrichtende actie.?Wat is het motief,
wie heeft hier voordeel bij? Waar wedt U op, ik een dienst vanuit Oekraïne met het oog FSB te compromitteren.
28-06-2017, 23:58 door Anoniem
https://sitecheck.sucuri.net/results/t.co/klijd7uwyc

Ook een geïnfecteerde site heeft ermee te maken, schijnt het.
29-06-2017, 17:11 door Tha Cleaner
Door Anoniem: Ho, ho, de naam is thans gewijzigd het heet nu NoPetya.
Hangt er vanaf bij wie je het volgt of lees. Er zijn verschillende namen voor dit virus.

Het zou misschien beter zijn geweest, dat Windows hier in deze omgevingen "embedded" zou worden gebruikt.
Ik zie niet direct dat dit een oplossing had geweest om de uitbraak van dit virus te verminderen.

Zou het in een chrome OS omgeving ook zo zijn gebeurd?
Chrome OS wordt eigenlijk bijna nergens zakelijk gebruikt. Mede omdat er bijna geen zakelijke applicaties voor zijn. En ook chrome OS heeft bugs er in zitten. Als de markt maar groot genoeg is, is er een markt voor.

Misschien is het Windows OT prijs gerelateerd en vaak zit men ook vast aan Microsoft bij bedrijfstoepassingen, want van consumentencomputers die besmet zijn, heb ik niet gehoord.
De redenen van deze uitbraak, was gewoon eigenlijk een verkeerde configuratie en had voorkomen kunnen worden met een juist security beleid. Consumenten hebben geen netwerken, dus is de aanval eigenlijk ook niet mogelijk. Tenzij je de applicatie handmatig zou opstarten.

Het zou ook best wel eens zo kunnen zijn geweest dat het om een gefrusteerde IT-er is gegaan en de aanval
gericht was tegen 1 doel, bijvoorbeeld MAERSK en dan verder is ontsnapt en uit de hand gelopen.
Die conclusie klopt niet, en was tijdens jouw post al eigenlijk niet van toepassing.

Het lijkt in ieder geval geen werk van echte cybercriminelen a la Russian Business, de reden dat het mail adres is down gehaald, zou wel eens kunnen zijn gedaan om de echte verspreiders te willen verhullen. Nu horen we niets meer daarover, denk ik.
Het is een ransomware aanval, maar eigenlijk gewoon een virus dat gemaakt is om schade te veroorzaken.

De ransomeware versleuteling lijkt identiek aan die van gewone ransomeware verspreiders. Er werden twee mogelijke wijzen van verspreiding gevolgd, de smb1 weg en een andere via het forceren van admin toegang.
SMB1 aanval is gecopieerd, maar de overige verspreidings factoren waren nieuw, en daarom kon het virus ook zo snel verspreiden. De versleuteling is ook anders,

Lijkt me een thema voor een leuke film, wie zaten achter deze infratstructuur ontwrichtende actie.?Wat is het motief,
wie heeft hier voordeel bij? Waar wedt U op, ik een dienst vanuit Oekraïne met het oog FSB te compromitteren.[/quote]
30-06-2017, 11:29 door Anoniem
imho moet MS met WIndows een strakker user beleid gaan voeren. Op elke nieuwe install/pc heeft de user nog steeds veel teveel rechten.

Eigenlijk zou er een standaard wizard op moeten starten bij het eerste gebruik of na de installatie, om - eerst- een admin account op te zetten (met grote waarschuwingsschermen over het gebruik ervan en veiligheid) en - daarna - het standaard te gebruiken user account met alleen basic gebruiksrechten. De gebruiker een beetje opvoeden is echt nodig.

En dan ook nog het gebruik van het echte admin account beperken tot een beperkte tijdsperiode, voor je hard uitgelogd wordt na een veiligheidsmelding.
Dit zou al een hoop ellende kunnen voorkomen. Daarnaast moet MS ook zijn applicatie richtlijnen aanscherpen, want ik kom hier en daar nog steeds applicaties tegen die admin rechten nodig hebben om te draaien?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.