Wereldwijd zijn allerlei bedrijven besmet geraakt met een variant van de Petya-ransomware, ook wel GoldenEye genoemd, die zowel bestanden als 'ntfs-structuren' versleutelt, waardoor systemen uiteindelijk onbruikbaar achterblijven. Hoe de ransomware zich verspreidt is op dit moment nog niet duidelijk, maar het Roemeense anti-virusbedrijf Bitdefender gaat uit van een worm.
In tegenstelling tot de meeste andere ransomware-exemplaren maakt de nu actieve Petya-variant gebruik van twee encryptielagen. De eerste laag versleutelt de bestanden op de computer, terwijl de tweede laag de ntfs-structuren versleutelt. Na het versleutelen past de ransomware een speciale routine toe die de computer laat crashen en een herstart veroorzaakt, waardoor de computer onbruikbaar achterblijft totdat de 300 dollar losgeld is betaald. Onder andere containerterminals in Rotterdam werden door de ransomware getroffen.
De GoldenEye-ransomware komt volgens Bitdefender voort uit twee ransomware-exemplaren genaamd Petya en Mischa, waar vorig jaar mei voor werd gewaarschuwd. Deze ransomware-exemplaren gebruikten echter e-mailbijlagen om zich te verspreiden. Petya versleutelt de master file table (MFT) van de harde schijf, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart. Net zoals Petya versleutelt GoldenEye de gehele harde schijf en blokkeert vervolgens toegang tot de computer. In tegenstelling tot Petya is er geen oplossing om bestanden te ontsleutelen, aldus Bitdefender.
Beveiligingsonderzoeker Rickey Gevers meldde eerst dat de ransomware zich via Excel-documenten verspreidde, maar heeft deze tweet verwijderd en laat nu weten dat de EternalBlue-exploit wordt gebruikt.
Costin Raiu, directeur van het Global Research and Analysis Team van Kaspersky Lab, laat op Twitter weten dat de ransomware een valse digitale handtekening van Microsoft gebruikt die van de Sysinternals Suite is gekopieerd. Dit is een verzameling tools van Microsoft voor onder andere het onderzoeken en beheren van Windowscomputers.
De premier van de Oekraïne Volodymyr Groysman laat op Facebook weten dat het om een "ongekende aanval" gaat waarbij banken, servers van het kabinet, telecom- en postbedrijven zijn getroffen.
Spaanse media berichten dat er ondernemingen in het land door de ransomware zijn geraakt. Ook advocatenkantoor DLA Piper is getroffen, meldt Legal Week.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie zegt de situatie in de gaten te houden."Het NCSC heeft nauw contact met relevante sectoren en CERT's (Computer Emergency Response Teams) in andere landen over deze aanval. Momenteel wordt onderzocht welke ransomware is gebruikt en op welke wijze systemen geïnfecteerd worden." Het NCSC meldt verder dat er nog geen analyse is van hoe GoldenEye zich verspreidt. Volgens de Britse krant The Independent is het systeem waarmee de straling in Tsjernobyl wordt gemonitord ook door de ransomware geïnfecteerd geraakt.
Securitybedrijf Fox-IT meldt in een liveblog over de situatie dat GoldenEye (Petya) in Nederland een grotere impact lijkt te hebben dan WannaCry.
Het Russische anti-virusbedrijf Kaspersky Lab meldt in een gemaild persbericht dat uit voorlopig onderzoek blijkt dat het NIET om een variant van de Petya-ransomware gaat zoals in eerste instantie werd gemeld, maar dat het om een geheel nieuw ransomware-exemplaar gaat. Daarom heeft de virusbestrijder het de naam NotPetya gegeven. Uit eigen cijfers blijkt dat zo'n 2.000 gebruikers zijn aangevallen. Organisaties in Rusland en de Oekraïne zijn het zwaarst getroffen.
Kaspersky Lab spreekt over een complexe aanval die uit verschillende aanvalsvectoren bestaat, waaronder een aangepaste EternalBlue-exploit om zich binnen het bedrijfsnetwerk te verspreiden. Het anti-virusbedrijf adviseert organisatie om via de AppLocker-feature van Windows de PsExec-tool van de Sysinternals Suite te blokkeren. De ransomware zou onder andere deze tool van Microsoft gebruiken om zich binnen netwerken te verspreiden.
Een onderdeel van snoepfabrikant Mars is ook door de ransomware getroffen. Het gaat om Royal Canin, dat voedsel voor huisdieren produceert, zo laat het bedrijf in een verklaring tegenover persbureau Reuters weten. De infectie zou inmiddels zijn geïsoleerd. Verschillende Amerikaanse ziekenhuizen melden dat hun systemen ook besmet zijn geraakt, alsmede medicijnfabrikant Merck.
Kaspersky Lab heeft ook een blogpost over de infectie online gezet. Daarin wordt gemeld dat de ransomware zich verspreidt via een aangepaste EternalBlue-exploit, een aanval tegen de updatefunctie van een Oekraïens softwareprogramma genaamd MeDoc en de EternalRomance-exploit van de NSA. Daarnaast wordt er een soort Mimikatz-achtige tool gebruikt voor het stelen van inloggegevens uit het lsass.exe-proces. Deze gestolen inloggegevens worden vervolgens door de PsExec-tool of WMIC gebruikt om de ransomware binnen een netwerk te verspreiden. PsExec wordt omschreven als een vervanging van telnet waarmee processen op andere systemen kunnen worden uitgevoerd.
"Een enkele besmette machine op het netwerk met inloggegevens van een beheerder kan de infectie via WMI of PsExec onder alle andere computers verspreiden", zo waarschuwt de virusbestrijder. Verder wacht de ransomware 10 tot 60 minuten met het herstarten van het systeem. Daarna wordt de MFT-tabel in de NTFS-partities versleuteld en de MBR-loader overschreven met de losgeldmelding. De encryptie maakt volgens Kaspersky Lab gebruik van een gedegen standaard encryptieroutine, waardoor de kans klein is dat er fouten zijn gemaakt waardoor slachtoffers hun bestanden kunnen terugkrijgen.
Het Oekraïense softwarebedrijf dat het programma M.E.Doc ontwikkelt ontkent in een bericht op Facebook dat de updatefunctie van de software is gebruikt om de ransomware onder organisaties te verspreiden, ook al laten verschillende experts en securitybedrijven weten dat dit wel het geval is. Op de eigen website waarschuwt het bedrijf echter dat de servers zijn gebruikt voor het uitvoeren van een 'virusaanval'. M.E.Doc is financiële software die vooral veel binnen de Oekraïne wordt gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.