De NotPetya-ransomware die zich op 27 juni 2017 verspreidde maakte voornamelijk gebruik van gestolen inloggegevens, aldus Microsoft in een nieuwe analyse van de wereldwijde aanval. De initiële infectie door NotPetya begon via de boekhoudsoftware MEDoc.
Zodra er een machine in het netwerk besmet was geraakt probeerde de malware zich verder te verspreiden. NotPetya beschikte hiervoor over twee mechanismes. Zo werden kwetsbaarheden in de Windows SMB-server aangevallen waar ook de WannaCry-ransomware gebruik van maakte. Daarnaast werden inloggegevens van ingelogde accounts gestolen, waarmee andere machines in het netwerk werden aangevallen. Het ging hierbij alleen om ingelogde accounts met een actieve sessie.
Microsoft stelt dat de meeste infecties via gestolen inloggegevens plaatsvonden. Dit komt waarschijnlijk door de uitbraak van de WannaCry-ransomware zes weken eerder. Dit zorgde ervoor dat organisaties de beveiligingsupdate installeerden waarmee de kwetsbaarheden in de Windows SBM-server werden verholpen. "Vanwege deze tweeledige aanpak om zich te verspreiden, raakten zelfs organisaties die 97 procent van hun machines hadden gepatcht besmet met NotPetya. Dit laat zien dat het verhepen van één aanvalsvector niet genoeg is", aldus Microsoft.
Een onderbelicht aspect van de infectie is dat NotPetya back-upapplicaties en uitrolsystemen voor besturingssystemen uitschakelde. Wat de mogelijkheid van getroffen organisaties om hun it-omgeving te herstellen belemmerde. In sommige gevallen moest it-personeel op papieren documentatie terugvallen omdat de servers met de recoverydocumenten ook offline waren. Volgens Microsoft laat dit zien dat off-site back-ups en papieren documenten en herstelprocedures noodzakelijk zijn.
Daarnaast bleven getroffen organisaties zonder bedrijfscommunciatie achter, aangezien e-mailservers vaak ook offline waren. Organisaties zagen zich daardoor gedwongen om op alternatieve communicatiemethodes over te stappen, zoals WhatsApp, Twitter en persoonlijk e-mailadressen, aldus Microsoft. Eén van de door NotPetya getroffen bedrijven was de Deense multinational Maersk. Het bedrijf liet onlangs weten dat het vanwege de infectie 45.000 pc's en 4.000 servers opnieuw moest installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.