image

F-Secure: Netwerkdeel Petya-ransomware in februari ontwikkeld

vrijdag 30 juni 2017, 08:52 door Redactie, 7 reacties

Het deel van de Petya-ransomware waardoor het netwerken kan infecteren is volgens het Finse F-Secure in februari al ontwikkeld, wat opmerkelijk is, aangezien de twee NSA-exploits die de malware gebruikt pas in april openbaar werden. "Er is bewijs dat de ontwikkeling van het onderdeel om zich via netwerken te verspreiden in februari is voltooid", zegt onderzoeker Andy Patel.

De Petya-ransomware maakt gebruik van de EternalBlue- en EternalRomance-exploits van de NSA om zich door netwerken heen te bewegen, alsmede het gebruik van gestolen beheerdergegevens. De twee NSA-exploits werden pas in april openbaar gemaakt door een groep genaamd Shadow Brokers, maar zouden dus al in februari zijn verwerkt binnen de Petya-ransomware. "Deze exploits passen binnen de netwerkmodule als een handschoen", zegt Patel. In de analyse van F-Secure worden de Petya-ontwikkelaars dan ook "vrienden van de Shadow Brokers" genoemd.

De WannaCry-ransomware maakte ook gebruik van de EternalBlue-exploit, maar de ontwikkelaars van deze ransomware kregen er pas toegang toe nadat de Shadow Brokers de exploit in april openbaar maakten. Daarnaast verdiende de manier waarop WannaCry de EternalBlue-exploit implementeerde geen schoonheidsprijs, gaat Patel verder. In het geval van Petya is dat een ander verhaal en is er uitgebreid getest.

De onderzoeker denkt dat de ontwikkelaars van Petya door de plotselinge verschijning van WannaCry, waardoor organisaties opeens de Windows-updates voor de SMB-lekken in Windows begonnen te installeren, hun deadline besloten aan te passen. Verder zou het gedeelte van de ransomware dat de Master Boot Record (MBR) van de harde schijf versleutelt in mei zijn getest via een waterhole-aanval op een Oekraïense site die eerder door het Russische anti-virusbedrijf Kaspersky Lab werd beschreven.

Patel laat verder weten dat de Petya-ransomware een "vendetta" tegen de anti-virussoftware van Kaspersky Lab heeft. Als de malware Kaspersky-software op het systeem aantreft overschrijft die de eerste 10 sectoren van de schijf met willekeurige data en herstart daarna de machine, waardoor die onbruikbaar achterblijft. Als laatste merkt de onderzoeker op dat sommige van de getroffen bedrijven geen duidelijke relatie met Oekraïne hebben of de MEDoc-software gebruikten, waardoor de ransomware zich initieel verspreidde. "Dit mysterie is een van de redenen waarom we nog niet op de samenzweringstrein zijn gesprongen", aldus Patel.

Reacties (7)
30-06-2017, 10:00 door [Account Verwijderd] - Bijgewerkt: 30-06-2017, 10:17
[Verwijderd]
30-06-2017, 10:34 door Ron625
Door Neb Poorten: Het eigenlijke probleem is dat dit soort exploits überhaupt aanwezig zijn in (jarenoude) productiecode.
Daarbij is het ook een probleem, dat er asociale instellingen zijn, die dit vinden, maar geheim (willen) houden.
30-06-2017, 12:40 door Briolet
Door Ron625:
Door Neb Poorten: Het eigenlijke probleem is dat dit soort exploits überhaupt aanwezig zijn in (jarenoude) productiecode.
Daarbij is het ook een probleem, dat er asociale instellingen zijn, die dit vinden, maar geheim (willen) houden.

Nee, want als ze die bevindingen openbaar zouden maken, zou het voor deze bedrijven zinloos zijn om er naar te zoeken. Dan blijven de kwetsbaarheden ook in de software aanwezig.

Het is primair de taak van Microsoft hun eigen software te controleren en weer te controleren. Zij hebben volgens mij nog meer geld en deskundigheid in huis om dit te doen, dan de NSA heeft.
01-07-2017, 00:15 door Anoniem
@Ron625,

Als dit zo is als jij dat stelt, doet Microsoft maar een "lousy" job of kan het zijn dat het OS waarop laag op laag werd geprobeerd het iets minder onveilig te krijgen, als OS met een open line interpreter in feite niet meer veilig te krijgen valt. (huidige status: problem factory by design, niet minder dan adobe en met een flinke inbreng van IBM overerfde narigheid).

Net als PHP en javascript onveilig afgeleverd en zeker toen niet klaar voor het Internet. The stack is a bitch en het bewijs wordt dag aan dag geleverd ook voor security deskundigen.

Kijk waar de ene security implementatie voor het ene OS een andere voor het andere propriety OS in de weg kan zitten. (salting versus error-flaw).

Bij No-Petya werden juist hard-coded zaken, waar men tegenwoordig zo dol op is, voor de slachtoffers fataal, waardoor vaccinatie niet kon ingrijpen.

Een voorbeeld waarom ik dit zeg. Hoe lang, denk al meer dan vijftien jaar kennen we het gevaar van Microsoft's dubbel extensie probleem (doc extensie ziet men, terwijl in werkelijkheid een executable kan gedraaid worden (verborgen).

Nog steeds niet gepatched.

Is men dan op veiligheid gefocused of is dit slechts holle praat?????
01-07-2017, 10:02 door Ron625
Door Briolet: Het is primair de taak van Microsoft hun eigen software te controleren en weer te controleren.
Zij hebben volgens mij nog meer geld en deskundigheid in huis om dit te doen, dan de NSA heeft.
Primair is het inderdaad de taak van de maker, maar.............
Wanneer jij een veiligheids-probleem ontdekt in je auto, maak je er ook melding van, om andere mensen te helpen.
Het is daarna aan de fabrikant om het te bekijken en te verbeteren.

Hetzelfde gaat m.i. ook op voor andere producten, zoals software!
01-07-2017, 16:19 door Anoniem
Zou het kunnen dat, en dan zet ik even mijn alu-hoedje op, dat deze mallware door de CIA/NSA zelf is ontwikkeld, om uiteindelijk anderen de schuld te geven (false flag) voor deze cyber aanval? Door deze exploits zelf bewust te lekken in de vorm van SchadowBrokers kunnen ze verbergen dat zij het zijn die deze geavanceerde mallware inzetten. Het zal niet voor het eerst zijn dat Amerika anderen de schuld geeft. Zou dit een voorteken zijn voor een naderende oorlog?
01-07-2017, 22:54 door Anoniem
NSA codeert voor uw eigen veiligheid (bij Google android zit veiligheidscode van NSA ingebaklken, die echter nog niet a la default staat in de settings). Wie heeft er nog greep op deze "spooks" (oorspronkelijk Britse term) en door welke krachten achter de schermen worden zij aangestuurd.

Wie voelen er nog meer op dit forum dat we aan de vooravond staan van een cyberconflict, dat tot WO III kan leiden?
Ik heb dat soort geluiden al meerdere malen hier tussen neus en lippen horen uiten in reacties en na de recente 'targeted cyberwar attacks' is dit gevoelen duidelijker aanwezig bij de bezoekers van security.nl

Misschien is het onze analyserende natuur, die dit teweeg brengt.

Waar baseren deze reageerders zich op? De retoriek, de troepenverplaatsingen naar rond de Kaliningrad/Koningsbergen enclave, gelijkaardig scenario als bij de Danzig/Gotenhafen corridor destijds (Gotenhafen naam tijdens de Duitse bezetting voor het Poolse Gdynia).

Zit men inmiddels economisch zo knijp, dat het militair industrieel complex de gaten op moet gaan vullen door te cashen van twee kanten van het conflict, net als destijds toen de Ford fabrieken zowel rollend materieel leverden aan de Rijkskanselier , A.H., zowel als aan Roerganger Stalin, Ford cashte toen dus dubbel en werden later nooit ter verantwoording geroepen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.