Wereldwijde uitbraak Petya-ransomware: Een overzicht
Op dinsdag 27 juni, ongeveer zes weken na de uitbraak van de WannaCry-ransomware, werden bedrijven wereldwijd opnieuw getroffen door een grootschalige ransomware-uitbraak. Dit keer gaat het om een ransomware-exemplaar dat Petya, GoldenEye, ExPetr en ook NotPetya wordt genoemd. In dit artikel geeft Security.NL een overzicht van de tot nu toe bekende informatie.
Wat doet de ransomware?In tegenstelling tot WannaCry die alleen bepaalde bestanden versleutelde, versleutelt Petya zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Daarnaast probeert de ransomware zich verder op het netwerk te verspreiden.
Hoe verspreidt de ransomware zich?
Het lijkt om een combinatie van aanvalsmethodes te gaan. Verschillende securitybedrijven en onderzoekers stellen dat de ransomware als eerste werd verspreid via de updatefunctie van de boekhoudsoftware MEDoc. De software is door het Oekraïens softwarebedrijf M.E.Doc ontwikkeld en is in het land erg populair, maar wordt ook daar buiten gebruikt. Op de eigen website bevestigt M.E.Doc dat de updateservers zijn gehackt en gebruikt voor de aanval, maar op Facebook wordt het ontkend. De Oekraïense politie laat op Twitter echter weten dat de updatefunctie voor de aanval is gebruikt. Ook verschillende andere securitybedrijven stellen dit. Volgens securitybedrijf FireEye komt de timing van een update die gisteren via de servers van M.E.Doc is uitgerold overeen met de meldingen van de ransomware.
De ransomware maakt daarnaast gebruik van beveiligingslekken in de SMB-dienst van Windows die op 14 maart dit jaar door Microsoft werden gepatcht. Het gaat om dezelfde kwetsbaarheid die ook door WannaCry werd aangevallen, alsmede een lek dat in Windows XP tot en met Windows Server 2008 aanwezig is. Voor de aanvallen worden twee exploits gebruikt die bij de NSA zijn gestolen, de EternalBlue- en EternalRomance-exploit.
Tevens wordt er een soort Mimikatz-achtige tool gebruikt voor het stelen van inloggegevens uit het lsass.exe-proces. Deze gestolen inloggegevens worden vervolgens door de PsExec-tool of WMIC gebruikt om de ransomware binnen een netwerk te verspreiden. PsExec is een tool van Microsoft om processen op andere systemen uit te voeren. Mogelijk dat de ransomware vanaf locaties die via de MEDoc-software werden besmet kantoren in andere landen heeft kunnen infecteren.
Microsoft heeft inmiddels bevestigd dat de initiële infectie via de MEDoc-software begon.
Maakt de ransomware ook gebruik van e-mailbijlagen?
De eerste versies van Petya die vorig jaar verschenen gebruikten e-mailbijlagen. Dat blijkt bij deze variant niet het geval te zijn.
Welke Windowsversies lopen risico?
Zodra de ransomware een machine in een netwerk heeft geïnfecteerd kunnen in principe alle Windowscomputers worden aangevallen, ongeacht geïnstalleerde versie of patchniveau.
Welke organisaties zijn getroffen?
Uit cijfers van anti-virusbedrijf Kaspersky Lab blijkt dat de meeste infecties in Oekraïne en Rusland zijn waargenomen, gevolgd door Polen en Italië. Onder de getroffen bedrijven bevinden zich: Maersk, APM Terminals (onderdeel van Maersk), snoepfabrikant Mars, advocatenkantoor DLA Piper, Heritage Valley Health System (Amerikaanse ziekenhuizen), medicijnfabrikant Merck, medicijnfabrikant MSD, chocoladeproducent Cadbury, Raab Karcher, reclamebureau WPP, TNT Express, het Nederlandse trustkantoor TMF, de Franse retailer Auchan, het Franse bouwbedrijf St. Gobain, BNP Paribas Real Estate en de Russische oliegigant Rosneft.
Wat kunnen slachtoffers doen?
De ransomware begint niet meteen met versleutelen. Na de initiële infectie wacht de ransomware tussen de 10 en 60 minuten voordat de encryptie begint. Als slachtoffers in dit tijdsvenster de computer uitschakelen zijn de bestanden veilig. Daarnaast hebben slachtoffers nog een kans als de encryptie begint. De ransomware herstart namelijk het systeem en laat vervolgens een zogenaamde checkdiskmelding van Windows zien. Deze melding claimt dat de harde schijf is beschadigd en hersteld moet worden.
In werkelijkheid is dit het encryptieproces. Als gebruikers bij het zien van dit scherm de computer uitschakelen zijn de bestanden ook veilig. Experts stellen dat als de encryptie is voltooid het vooralsnog niet mogelijk lijkt om bestanden kosteloos te ontsleutelen, bijvoorbeeld door een fout in de gebruikte encryptieprocessen, zoals bij sommige andere ransomware-exemplaren het geval is geweest.
Hoeveel losgeld vraagt de ransomware?
Er wordt 300 dollar in bitcoin gevraagd dat naar een bitcoin-adres moet worden overgemaakt. De ransomware maakt gebruik van één bitcoin-adres, dat op het moment van schrijven inmiddels 36 transacties heeft ontvangen ter waarde van bijna 8.000 euro.
Hoe kunnen organisaties zich tegen de aanval beschermen?
Organisaties krijgen het advies om in ieder geval beveiligingsupdate MS17-010 van 14 maart te installeren mochten ze dit nog niet hebben gedaan. Daarnaast wordt aangeraden om de AppLocker-feature van Windows te gebruiken om het uitvoeren van bestanden met de naam "perfc.dat" te blokkeren, alsmede de PsExec-tool van de Sysinternals Suite. Verder wordt geadviseerd het SMBv1-protocol uit te schakelen. Het Zwitserse GovCERT adviseert om 'admin shares' te blokkeren. De Duitse overheid raadt aan om de automatische updatefunctie van de MeDoc-software uit te schakelen of het update-domein van de software te blokkeren. Ook wordt aangeraden om netwerken te segmenteren en naar wachtwoorden en instellingen van lokale systeembeheerders te kijken.
Hoe zit het met Nederlandse organisaties?
Containerterminals van APM in Rotterdam kregen met de infectie te maken, alsmede pakketvervoerder TNT Express, medicijnfabrikant MSD, Het Nederlandse trustkantoor TMF en Raab Karcher, leverancier van bouwmaterialen.
Krijgen slachtoffers die betalen hun bestanden terug?
De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. Ook is het niet meer mogelijk om naar het e-mailadres te mailen. Zelfs als slachtoffers betalen kunnen ze daardoor niet meer de benodigde decryptiesleutel in handen krijgen en hun bestanden ontsleutelen.
Is de uitbraak van Petya groter dan die van WannaCry?
Nee, WannaCry wist veel meer machines te infecteren dan Petya. In het geval van WannaCry worden er schattingen van 2 miljoen genoemd, terwijl het in het geval van Pety om enkele tienduizenden machines gaat.
Gaat het hier echt om ransomware?
Uit analyses van Petya blijkt dat het hier niet om ransomware gaat, maar een wiper. Een wiper is malware die specifiek ontwikkeld is om gegevens te wissen en systemen te beschadigen. In het geval van Petya blijkt dat de malware opzettelijk 24 blocks van de harde schijf overschrijft en het installatie-ID dat de 'ransomware' opgeeft een willekeurige reeks karakters is en geen relatie heeft met de encryptiesleutel die is gebruikt om de gegevens te versleutelen.
Hoeveel systemen zijn er besmet geraakt?
Volgens Microsoft gaat het om minder dan 20.000 machines, waarvan het grootste deel in Oekraïne.
Hoe zijn de Petya-ontwikkelaars aan de NSA-exploits gekomen?
Het Finse F-Secure laat weten dat het netwerkdeel van Petya in februari is ontwikkeld, wat opmerkelijk is, aangezien de twee NSA-exploits die de malware gebruikt pas in april openbaar werden. Volgens de Finse virusbestrijder hadden de Petya-ontwikkelaars voor het verschijnen van de NSA-exploits (EternalBlue en EternalRomance) in april door de hackergroep Shadow Brokers hier al de beschikking over.
Hoe is de kwaadaardige code precies via M.E.Doc verspreid?
Onderzoekers van anti-virusbedrijf ESET hebben in drie updates van de software een backdoor aangetroffen die bij de verspreiding is gebruikt. De ontwikkelaar van M.E.Doc heeft bevestigd dat het slachtoffer van een hack is geweest en er kwaadaardige code aan een update is toegevoegd.
Een overzicht van analyses van de ransomware:
Dit artikel zal wanneer beschikbaar met nieuwe informatie worden bijgewerkt
Dus nadat WannaCry is geweest, zijn er nog altijd bedrijven die hoe dan ook de zooi niet hebben geüpdatet?
En zelfs politie.nl is daardoor deels offline....
Servers op windows aan het internet hangen en dan ook nog eens niet de updates installeren....
Wat een verhaal! :P
Krijgen slachtoffers die betalen hun bestanden terug?
De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. Ook is het niet meer mogelijk om naar het e-mailadres te mailen. Zelfs als slachtoffers betalen kunnen ze daardoor niet meer de benodigde decryptiesleutel in handen krijgen en hun bestanden ontsleutelen.
Lol,. lekker dan.
Dus,. niet betalen!
Op zich goed dat ze dit doen - het is een sterk standpunt,.
maar als er echt belangrijke systemen worden getroffen ben je dus gewoon je shit kwijt.
haalt en elders opbergt.
Een extra schijf IN de computer of een NAS oid als backup dat heeft geen zin tegen crypto malware.
Dus nadat WannaCry is geweest, zijn er nog altijd bedrijven die hoe dan ook de zooi niet hebben geüpdatet?
En zelfs politie.nl is daardoor deels offline....
Servers op windows aan het internet hangen en dan ook nog eens niet de updates installeren....
Wat een verhaal! :P
Ik geloof dat je de details niet helemaal goed voor ogen hebt...
Zelfs uptodate machines kunnen worden getroffen. En politie.nl is niet offline door een aanval maar preventief.
En je server hoeft niet aan het internet te hangen om besmet te worden.
Om bovenstaande twee verspreidingsmethodes te kunnen laten werken is het volgende nodig:
1) De admin$ share op de remote PC moet beschikbaar zijn, wat betekent dat de server service daarop moet draaien;
-EN-
2) De code moet via het netwerk op die remote admin$ share kunnen inloggen. Dat kunnen alleen users die direct of indirect (bijv. via domain admins) lid zijn van de locale administrators groep op die remote PC (of server).
Als deze malware, naast van deze twee verspeidingsmethodes, uitsluitend de Eternal* exploit gebruikt, volstaat het om de server service op een PC uit te zetten om te voorkomen dat deze via deze 3 methodes gecompromitteerd kan raken (ook als je MS17-010 voor de Eternal* exploits niet hebt geïnstalleerd, om welke reden dan ook).
Als je MS17-010 gepatched hebt en de server service niet kunt of wilt uitzetten, volg dan adviezen zoals in [1] om te voorkomen dat (domain) admin credentials op alle computers te vinden zijn en door wormen (of kwaadaardige gebruikers) kunnen worden misbruikt om op elk systeem in je domein (inclusief DC's) in te loggen - met privileges tot/en met SYSTEM (zoals de "-s" in het bovenstaande psexec commando).
Hou er rekening mee dat gebruikers die lokale admin rechten op domain PC's (en dus ook eventuele malware die zij starten) probleemloos cached credentials van andere gebruikers op hun PC kunnen uitlezen en die kunnen misbruiken om zich op het netwerk voor te doen als die gebruikers. Local admin rechten zijn nooit een goed idee (en als dat echt niet anders kan, zet dan in elk geval de UAC schuif in de bovenste stand).
[1] https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory
Edit#1: Bovenste URL was onjuist.
Edit#2: Toegevoegd: Krijgen slachtoffers die betalen hun bestanden terug?
...
Edit#1: Bovenste URL was onjuist.
Edit#2: Toegevoegd: Krijgen slachtoffers die betalen hun bestanden terug?
mvg
Eminus
volgende week komt de cia of nsa of een of ander vaag Amerikaans bedrijfje wat gelieerd is aan cia of nsa dat het de russen waren... immers werden 2 duitse 1 franse ip adressen gebruikt..
of staat er een stukje google translate stukje russisch in de source
Kan security.nl ook aandacht besteden aan al die andere besmette OS systemen die in die besmette netwerken hangen?
Wat kunnen die andere OS gebruikers doen behalve smb services uitschakelen?
Of is de uitbraak toch wel heel windOS specifiek? Zeer tegenstijdige berichten van de experts steeds.'
Kan security.nl ook aandacht besteden aan al die andere besmette OS systemen die in die besmette netwerken hangen?
Wat kunnen die andere OS gebruikers doen behalve smb services uitschakelen?
Of is de uitbraak toch wel heel windOS specifiek? Zeer tegenstijdige berichten van de experts steeds.'
Deze uitbraak is specifiek voor Microsoft Windows!
Partijen die beweren dat het OS onafhankelijk is bedoelen wat anders (zoals dat onderliggende processen OS mogelijk onafhankelijk zijn, wat theoretisch misschien interessant is maar in de praktijk niets verandert voor deze uitbraak).
Superbedankt voor het verlossende antwoord!
Duidelijkheid, dat hebben we hard nodig!
;)
R@Tau#a
…De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. …
Nee, want als het echt belangrijke systemen zijn, heb je een deugdelijke backup.
…De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. …
Nee, want als het echt belangrijke systemen zijn, heb je een deugdelijke backup.
Tijd om achter de compjoeter vandaan te komen en een stap over de drempel te wagen in het fenomeen dat ook wel 'realiteit', de wereld heet?
Er is meer buiten dat platte glazenbuizenscherm op 40 cm afstand van den s(n)uffert.
Ja, dus.
Nog niet heel veel maar een aantal hebben betaald en dat is met het idee om bestanden terug te krijgen.
Dan was het dus belangrijk, echt belangrijk, belangrijk genoeg, want 300 dollar smijt je niet voor de lol in de goot.
Die mensen kunnen helaas en alleen waarschijnlijk fluiten naar hun bestanden door de actie van de duitse mailprovider.
Maar het kan inderdaad zo zijn dat het systeem inderdaad helemaal niet is ingericht om te decrypten.
Als we alle nederlanders en bedrijven over de grens naar antwerpen zouden zetten die geen of geen fatsoenlijke backup hebben, goh, nou dan had nederland ineens het inwonertal van belgie en andersom.
Het artikel is hier te lezen:
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Er zijn twee manieren om de Vacinatie door te voeren op een Windows-computer:
1. Handmatig. Er moet een bestand perfc worden aangemaakt als read only in de Windows map C:\Windows
Wanneer je deze NotPetya binnenkrijgt en deze workaround hebt doorgevoerd, dan kan volgens BleepinComputer de malware NotPetya niet uitgevoerd worden.
2. Via een Batchfile. Deze is hier te downloaden: https://download.bleepingcomputer.com/bats/nopetyavac.bat
Ik zou graag een bevestiging zien van dit bericht door meerdere instanties. Je kunt niet voorzichtig genoeg zijn ...
…De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. …
Nee, want als het echt belangrijke systemen zijn, heb je een deugdelijke backup.
Nee want backups blijken soms onverhoopt toch mis te zijn gegaan. Dat verandert niets aan dat de systemen echt belangrijk zijn.
zitten werken.
Wat wel heel belangrijk is: je moet nooit als een domain admin inloggen op een werkstation.
Daarom moet je ook de werkstation admin rechten niet aan de domain admin geven, maar een apart account aanmaken
voor local admin op de werkstations (dwz maak een groep die local admin rechten heeft en zet daar een of meer
specifieke beheer gebruikers in), en tevens moet je verbieden dat domain admins inloggen op werkstations.
HELAAS als je dit doet met de daarvoor bedoelde policy dan wordt dit pas gedetecteerd en de gebruiker wordt weer
uitgelogd NADAT de credentials al gecached zijn. Je kunt het aantal cached credentials op 1 zetten zodat de login
daarna van een gewone gebruiker deze cache weer overschrijft, maar hoe effectief dat is weet ik niet.
Is dat wel zo'n verstandige maatregel? Stel je hebt essentiële, bedrijfskritische gegevens, dan kan je die dus nooit meer terugkrijgen. Voor deze maatregel kon je nog overwegen om - weliswaar knarsentand - te betalen en je gegevens terug te krijgen.
Powershell: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Dan kan Linux geen contact meer maken met Windows Samba en gedeelde schijven werken niet meer op Linux.
Je kan het ongedaan maken door $false te veranderen in $true
Conclusie: De beveiliging veroorzaakt onmiddelijke incompatibiliteit met een groot aantal besturingssystemen, met name Android en Linux en iOS.
Doesn't this look familiar? Microsoft, de beste manier hoe Microsoft nu haar tegenstanders uitschakeld is door infectie met virussen en trojan horses, erg ironisch, tragisch denk ik.
Je kan immers wel Windows veiliger maken maar verliest dan communicatie met andere besturingssystemen, ik zeg Win Win voor Microsoft.
De Duitse e-mailprovider Posteo heeft het e-mailadres dat de aanvallers gebruiken om met slachtoffers te communiceren geblokkeerd. Ook is het niet meer mogelijk om naar het e-mailadres te mailen. Zelfs als slachtoffers betalen kunnen ze daardoor niet meer de benodigde decryptiesleutel in handen krijgen en hun bestanden ontsleutelen.
Is dat wel zo'n verstandige maatregel? Stel je hebt essentiële, bedrijfskritische gegevens, dan kan je die dus nooit meer terugkrijgen. Voor deze maatregel kon je nog overwegen om - weliswaar knarsentand - te betalen en je gegevens terug te krijgen.
Essentiele, bedrijfskritische gegevens moet je sowieso gebackuped hebben zodat je dit bij dergelijke ransomware altijd kan herstellen. Daarbij is betalen geen garantie dat je je ge-encrypte data ermee terug krijgt.
Ik heb Windows-7 en Acronis True Image. Ik maak regelmatig (dagelijks) een (incremental) image van C en D op een externe (USB3) drive
Een tijdje geleden malware gevangen, PC begon te versleutelen. Zag ik aan CPU belasting.
Geen nood.
Even van USB stick Acronis booten en disk images herstellen.
Was binnen een uurtje of zo gedaan.
Als je tegenwoordig wat zekerheid wilt kan IEDEREEN zoiets doen en betalen. Als je dit nietwilt doen moet je niet zeuren
NEXT.
Het artikel is hier te lezen:
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Er zijn twee manieren om de Vacinatie door te voeren op een Windows-computer:
1. Handmatig. Er moet een bestand perfc worden aangemaakt als read only in de Windows map C:\Windows
Wanneer je deze NotPetya binnenkrijgt en deze workaround hebt doorgevoerd, dan kan volgens BleepinComputer de malware NotPetya niet uitgevoerd worden.
2. Via een Batchfile. Deze is hier te downloaden: https://download.bleepingcomputer.com/bats/nopetyavac.bat
Ik zou graag een bevestiging zien van dit bericht door meerdere instanties. Je kunt niet voorzichtig genoeg zijn ...
https://www.govcert.admin.ch/blog/32/notes-about-the-notpetya-ransomware
http://www.nu.nl/economie/4803714/apm-houdt-containerterminals-gesloten.html
Ik heb Windows-7 en Acronis True Image. Ik maak regelmatig (dagelijks) een (incremental) image van C en D op een externe (USB3) drive
Een tijdje geleden malware gevangen, PC begon te versleutelen. Zag ik aan CPU belasting.
Geen nood.
Even van USB stick Acronis booten en disk images herstellen.
Was binnen een uurtje of zo gedaan.
Als je tegenwoordig wat zekerheid wilt kan IEDEREEN zoiets doen en betalen. Als je dit nietwilt doen moet je niet zeuren
Is dat wel zo'n verstandige maatregel? Stel je hebt essentiële, bedrijfskritische gegevens, dan kan je die dus nooit meer terugkrijgen. Voor deze maatregel kon je nog overwegen om - weliswaar knarsentand - te betalen en je gegevens terug te krijgen.
Zeker, het zou in orde moeten zijn en met name bij backend systemen. Maar als het niet in orde is dan zijn de data niet minder belangrijk. Er wordt alleen niet goed mee omgegaan, mogelijk zelfs buiten medeweten van de eigenaren ervan (hoewel ook die zouden moeten toetsen hoe het ermee is gesteld).
Nouja, en dan is het dus weg.
Niet iedere inbreker is zo aardig om een briefje achter te laten met een adres waar je (tegen betaling) je stuff terug kan krijgen. Welkom in de echte wereld. En als de apparatuur er gewoon een keertje uitrookt, je buurman een suicidale pyromaan blijkt of het in de kelder plaatsen van de apparatuur blijkt bij een waterleidingbreuk toch niet zo'n slim idee, dan merk je dat al dat "maak goede backups" gelul toch enige grond van waarheid had.
Als je data je kroonjuwelen zijn, dan behandel je ze ook zo. Dus zorg je zelf voor backups, want een contract is leuk maar als het weg is, is het toch echt weg en daar weegt die boeteclausule niet tegen op (want het was immers erg belangrijke data).
Dat gebeurt heus wel. Het is niet de bedoeling dat ze gaan vertellen wie hun opdrachtgever is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
