Het is precies een jaar geleden dat de NotPetya-malware zich verspreidde en de belangrijkste les is dat bedrijven en organisaties meer moeten doen om te voorkomen dat desktops elkaar besmetten. Dat stelt beveiligingsexpert Robert Graham van securitybedrijf Errata Security, die bijval krijgt van Microsoft.
De infectie met NotPetya begon met een boekhoudprogramma dat een besmette update ontving. Zodra er een machine in het netwerk was besmet gebruikte de malware twee manieren om zich verder te verspreiden. Er werden beveiligingslekken in de smb-dienst van Windows gebruikt waardoor eerder ook de WannaCry-ransomware zich verspreidde. Daarnaast maakte NotPetya gebruik van een soort Mimikatz-achtige tool. Via deze tool werden inloggegevens op een besmette machine gestolen. Vervolgens werd er geprobeerd om met deze inloggegevens op andere machines in te loggen. Wanneer de malware de inloggegevens van de beheerder wist te bemachtigen werd het gehele Windows-domein geïnfecteerd. "Een dergelijke manier van verspreiden via Windows-wachtwoorden blijft een plaag voor organisaties", aldus Graham.
Als voorbeeld wijst hij naar de ransomware-infectie van de Amerikaanse stad Atlanta, die op soortgelijke wijze plaatsvond en voor miljoenen dollars schade veroorzaakte. "Dit is de belangrijkste les die organisaties moeten leren en degene die ze negeren. Ze moeten meer doen om te voorkomen dat desktops elkaar infecteren, bijvoorbeeld door port-isolation en microsegmentatie." Ook moet er meer controle plaatsvinden op de verspreiding van adminwachtwoorden binnen de organisatie. Veel organisaties gebruiken hetzelfde lokale adminwachtwoord voor elk werkstation, wat de verspreiding van NotPetya-achtige malware eenvoudig maakt. Tevens moet er naar de vertrouwensrelatie tussen domeinen worden gekeken, zodat de beheerder van het ene domein de andere niet kan infecteren.
"De lessen die van NotPetya geleerd kunnen worden is niet het patchen van systemen, maar het omgaan met vijandige automatische updates die diep het netwerk binnenkomen en het belangrijkste, het stoppen van de verspreiding van malware via vertrouwensrelaties en rondzwervende beheerderswachtwoorden", stelt Graham. Ook Microsoft waarschuwde deze week voor het probleem van aanvallers die zich via standaardtools lateraal door netwerken bewegen en misbruik van admin-wachtwoorden maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.