image

Microsoft: Minder dan 20.000 computers besmet met Petya

vrijdag 30 juni 2017, 09:39 door Redactie, 18 reacties

De Petya-ransomware heeft veel minder computers besmet dan in eerste instantie werd verwacht, namelijk minder dan 20.000, zo stelt Microsoft. De aanval begon in Oekraïne, waar 70 procent van alle getroffen systemen zich bevindt. Het grootste deel van de getroffen computers draait op Windows 7.

In een nieuw artikel gaat de softwaregigant in op de werking van de Petya-ransomware en hoe Windows 10 hier tegen kan beschermen. Volgens Microsoft is een opvallend aspect van de Petya-ransomware dat de ontwikkelaars technieken toepasten die normaliter door penetratietesters en hackers worden gebruikt en deze technieken vervolgens binnen de malware hebben geautomatiseerd.

Volgens Microsoft had Windows 10 de impact van de Petya-ransomware kunnen beperken. Zo beschikt het besturingssysteem over beveiligingsmaatregelen die het stelen van inloggegevens, zoals de malware doet, voorkomen. Daarnaast stopt UEFI Secure Boot de versleuteling van de bootloader van de harde schijf. Verder komt uit de analyse naar voren dat als de Petya-ransomware de anti-virussoftware van Kaspersky Lab aantreft, het de eerste tien sectoren van de harde schijf vernietigt, waaronder de MBR-sector.

Wordt de software van Symantec aangetroffen, dan zal de malware zich niet via SMB proberen te verspreiden. Microsoft laat ook weten dat getroffen machines met Secure Boot en UEFI en machines zonder UEFI met Kaspersky-software hersteld kunnen worden. In het geval de gijzelmelding wordt getoond is herstel niet mogelijk. Microsoft stelt dat persoonlijke bestanden op de harde schijf in kwestie mogelijk nog wel via recoverytools op een schoon systeem hersteld kunnen worden.

Image

Reacties (18)
30-06-2017, 10:15 door [Account Verwijderd]
[Verwijderd]
30-06-2017, 10:26 door Anoniem
MS, zeg gewoon de ****king waarheid. Windows 10 kan net zo goed geïnfecteerd worden. Het is was minder dankzij de automatische updates. (Lang leve 0days mischien?)

En de meeste bedrijven zijn toch niet up to date met hun 7s en misschien nog wel XPs.
En misschien ook nog wel Vista (LOL).
30-06-2017, 10:46 door karma4
Door Anoniem: MS, zeg gewoon de ****king waarheid. Windows 10 kan net zo goed geïnfecteerd worden. Het is was minder dankzij de automatische updates. (Lang leve 0days mischien?)

En de meeste bedrijven zijn toch niet up to date met hun 7s en misschien nog wel XPs.
En misschien ook nog wel Vista (LOL).
Het was juist dankzij automatische updates medoc dat de aanval gericht actief gemaakt werd.
Betere mitigatie geen automatische updates van derden onder admin rechten (local server). Beter is daarvoor aparte service accounts te gebruiken. Kan prima maar vraagt meer voorbereiding en afstemming. Kwestie van secùrity beleid en via controlerende instanties. De richtlijnen bestaan al lang.
30-06-2017, 11:03 door Anoniem
'Toevallig zeg
Verder komt uit de analyse naar voren dat als de Petya-ransomware de anti-virussoftware van Kaspersky Lab aantreft, het de eerste tien sectoren van de harde schijf vernietigt, waaronder de MBR-sector.
Microsoft laat ook weten dat getroffen machines met Secure Boot en UEFI en machines zonder UEFI met Kaspersky-software hersteld kunnen worden.
Net nu microsoft en kaspersky juridisch overhoop liggen blijkt dat kaspersky rampzalig is voor windows 10?
Wat een heerlijke marketingkans die uitbraak. Daar kan je wel pap van lusten als het je uitkomt.'
30-06-2017, 12:10 door [Account Verwijderd]
[Verwijderd]
30-06-2017, 13:20 door karma4 - Bijgewerkt: 30-06-2017, 13:36
Door Neb Poorten: ....
En als als ze geen service account gebruikten, op welke manier zou het dan hebben uitgemaakt? Want de malware gebruikt diverse technieken en gereedschappen om network administrator credentials uit het werkgeheugen van de besmette computer te ....
Je geeft zelf het antwoord al. Installaties worden gedaan met admin rechten(root). Makkelijk je kan overal bij, de auto_update laat je dat ook doen. Daarmee staan de administratie rechten op de doos open en kan je met de reguliere admin (root) rechten verder. Precies de beschrijving.

Een service account moet je voorbereiden en inrichten voordat je aan de slag gaat. Zitten er speciale delen in als setuid dll's machine register updates dan moet je dat isoleren en apart beheren. Zo iets is veel complexer om uit te rollen dan enkel set up enter enter. Denk aan de kosten..

Het voordeel van een service account is dat je heel minimale rechten kan geven, dus geen admin rechten en toegang tot shares etc hoeft ook allemaal niet. Het is investeren in informatieveiligheid.


Geef eens aan welke organisaties jij jkent die de moeite nemen om aangekochte software van leveranciers op die manier te analyseren en naar security eisen neer te zetten.
Zelfs het ncsc neemt de moeite niet. Die zeggen dat je de instructies van de leverancier op moet volgen.

Als je de hand op een Windows doos kan leggen moet je maar eens kijken onder welk account de services draaien.
https://msdn.microsoft.com/en-us/library/ms677959(v=vs.85).aspx geeft een richting hoe dat voor elkaar te krijgen met Windows. Voor linux Unix moet het minder een probleem zijn als je het concept en doel snapt.

In beide gevallen krijg je voor je het weet veel service accounts. Heb je een probleem met veel van die dingen?
30-06-2017, 15:38 door Tha Cleaner
De Petya-ransomware heeft veel minder computers besmet dan in eerste instantie werd verwacht, namelijk minder dan 20.000, zo stelt Microsoft. De aanval begon in Oekraïne, waar 70 procent van alle getroffen systemen zich bevindt. Het grootste deel van de getroffen computers draait op Windows 7.

Persoonlijk vind ik 20.000 een erg laag aantal. Ik zou toch denken dat het aanzienlijk hoger ligt. Dat zou betekenen dat er ongeveer 14.000 in Oekraïne waren en 6000 in de rest van de wereld. Als je na gaat dat TNT, Maersk en nog wat grote bedrijven al plat lagen, dat dit dit aantal al snel zal overstijgen. En er dus veel meer geïnfecteerde machines waren.
30-06-2017, 15:43 door [Account Verwijderd] - Bijgewerkt: 30-06-2017, 15:46
[Verwijderd door moderator]
30-06-2017, 15:51 door ph-cofi
Ik vind boeiend de bewering dat UEFI en secure boot zouden kunnen helpen de MBR versleuteling te voorkomen. Dat heeft misschien wel bijgedragen allerlei recent aangeschafte endpoints (gedeeltelijk) te beschermen.
30-06-2017, 18:54 door Anoniem
"minder dan 20.000, zo stelt Microsoft": waar stelt Microsfot dat?
30-06-2017, 18:58 door Anoniem
Windows 10 kan net zo goed geïnfecteerd worden.

Hoe dan? Gaarne onderbouwing.
30-06-2017, 19:44 door Anoniem
Duurt wel lang voordat een of ander vaag bedrijfje wat zichzelf security analyst noemt ofzo de boel richting rusland schuift.
Alsof 'ja, malware xx heeft dezelfde 2% code als malware yy, dus is yy door xx gemaakt.."....

Juist bij malware is het zaak om anoniem te blijven, zeker als er schade toegebracht wordt...
Juist dan is copy/paste van andere code het beste...
01-07-2017, 10:31 door [Account Verwijderd] - Bijgewerkt: 01-07-2017, 10:51
[Verwijderd]
01-07-2017, 15:07 door Anoniem
Wat de consumenten machines betreft, kan dat beeld wel aardig kloppen, voor zo ver ze gepatched waren en de verdere onveiligheden die uitgebuit werden door not-Petya niet aanwezig waren.

De aanval was wiper-crippleware ingezet tegen een politiek afgebakende vijand, targeted cyberattack ofwel door de Russen ofwel door Amerikanen om de Russen de schuld in de schoenen te schuiven of door het getroffen land zelf om Rusland als aanvaller neer te zetten. We weten het niet en zullen het wellicht tijdens ons leven lang nooit horen.

Waar het tegen gericht was, de firma's met de betreffende boekhoudsoftware updates en alle gerelateerden, daar zullen er wel wat meer van geweest zijn dan gemeld vanwege reputatieschade. Welk bedrijf gaat als het niet verplicht is zeggen dat het getroffen is door staatsterreur van welke aard dan ook. Slechte reclame. De Oekraïense Microsoft licenties, daar zal ook wel het een en ander aan schorten, vermoed ik zo. Er draait nog veel illegaal XP, Win 7 etc.

Het vage bedrijfje dat nu aangeeft "het was een Russische cyberactie" heeft het toch wat moeilijk met het onderbouwen van de bewijslast. Dit soort hacks blinken niet uit in visitekaartjes weggeven voor researchers. Voor het zelfde geld was het NSA of CIA of Oekraïne zelf. Cloak and dagger actie.

Voor de veiligheid van de infrastructuur telt zoiets wat minder, voor het terugdringen van de total control surveillance staat heeft het wellicht enigszins momentum, alhoewel de verantwoordelijken wel weer heel snel in slaap sukkelen.

De mens reageert wat dat aangaat vreemd en niet primair. Ging je gelijk van roken dood, dus binnen een trekje of tien aan een sigaret, dan begon geen hond eraan. Nu gebeurt het na dertig jaar of meer en zijn er een heleboel die toch er weer eentje opsteken. Mijn opa heeft zijn hele leven gerookt en had er niks van, dat soort prietpraat. Van het geld had ie een leuk tabletje kunnen kopen of een ander onnuttig iets kunnen doen, Dutchaboo, als je maar gezellig strrropwafels eet. (iron.).

Rare wezens, die mensen, ik ben er ook een en hou dat steeds voor ogen. Kijk in de spiegel en ken uzelve!
Praat maar eens met cleverbot, die nooit weet te overtuigen dat ie AI is.. ;)

Lauferek.
01-07-2017, 16:16 door Briolet
Door Neb Poorten:
Door Anoniem: "minder dan 20.000, zo stelt Microsoft": waar stelt Microsfot dat?

Het stond in het door redactie gelinkte artikel maar die tekst lijkt ondertussen te zijn aangepast.

Maar klopt die stelling dan nog wel als Microsoft deze harde bewering zelf weer uit hun artikel wist?
01-07-2017, 17:11 door Tha Cleaner
Door Anoniem:
Windows 10 kan net zo goed geïnfecteerd worden.

Hoe dan? Gaarne onderbouwing.

Met psexec / wmic.
02-07-2017, 00:56 door karma4
Door Tha Cleaner:
Door Anoniem:
Windows 10 kan net zo goed geïnfecteerd worden.

Hoe dan? Gaarne onderbouwing.

Met psexec / wmic.
checking....
https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx en https://msdn.microsoft.com/en-us/library/aa394531(v=vs.85).aspx het lijkt er meer dat als er een infectie is dat gebruikt kan worden om andere te besmetten.

Het kinkt als dat je root kunt krijgen als je root rechten hebt verkregen.
Dat is nadat er wat aan de hand is niet voordat er wat gebeurd is.
02-07-2017, 10:24 door Anoniem

Het was juist dankzij automatische updates medoc dat de aanval gericht actief gemaakt werd.

en klaarblijkelijk zijn de update binaries niet off-line off-site via een PGP oid gesigneerd door de makers van de software en hebben de OSes / beheerders dus een trojan binnen gehaald zoder dat ze dat door hadden?

kijk als je auto updates wilt, moet je dingen wel goed doen he: gesigneerde binaries via secure protocollen (https oid) vanuit betrouwbare bronnen. dat kan in de praktijk wel weten sommigen uit ervaringen :).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.