Ransomware – NotPetya

Bron: Door Olaf van Miltenburg, 27 juni 2017 Tweakers.net

Grote ransomwareaanval treft organisaties meerdere landen

Dinsdag zijn diverse bedrijven en organisaties in onder andere India, Oekraïne, Rusland, het Verenigd Koninkrijk en ook Nederland getroffen door ransomware, vermoedelijk de software Petya. Net als WannaCry lijkt Petya gebruik te maken van de Eternalblue-exploit bij de verspreiding.

De eerste meldingen over de verspreiding begonnen bij claims dat banken, energiemaatschappijen, tv-stations en bedrijven in Oekraïne getroffen werden door een internetaanval. Onder andere de centrale bank van het land en vliegtuigbouwer Antonov kregen met de malware te maken. De overheid van Oekraïne wees volgens de Kyiv Post met de beschuldigende vinger naar Rusland, maar ook uit dat buurland kwamen berichten van aanvallen, onder andere op de servers van oliemaatschappij Rosneft.

Petya

Dinsdagmiddag verschenen er meer meldingen van bedrijven dat ze malwareaanvallen te duchten hadden. Het ging onder andere om het Spaanse voedselbedrijf Mondelez en de juridische onderneming DLA Piper, het Franse constructiebedrijf St Gobain en het Britse reclamebedrijf WPP, schrijft de BBC.

Ook in Nederland waren de gevolgen merkbaar. De systemen van containerbedrijf Maersk en dochteronderneming APM Terminals werden getroffen, waardoor containerterminals in de haven van Rotterdam platlagen. In de reacties op dat artikel melden meerdere tweakers dat ook het bedrijf waar zij werken, is getroffen door de ransomware. Een gebruiker spreekt van een bedrijf dat wereldwijd vijftigduizend werknemers heeft, een andere gebruiker heeft het over een bedrijf met een Fortune 50-notering. Over welke bedrijven het precies gaat, doen de tweakers geen uitlatingen. Volgens RTV Oost is ook bouwmaterialengroothandel Raab Karcher getroffen.

Meerdere beveiligingsdeskundigen en antivirusbedrijven, zoals Avira, Kaspersky en F-Secure, hebben samples van de malware onderzocht en deze herleid tot de Petya-ransomware. Petya lijkt volgens Emsisoft van de Eternalblue-exploit gebruik te maken bij de verspreiding, maar bevestigd is dit nog niet. Mocht dat wel zo zijn, dan zou het updaten van Windows besmetting moeten voorkomen. In mei wist de WannaCry-ransomware veel slachtoffers te maken door eveneens van Eternalblue gebruik te maken. Deze exploit is oorspronkelijk door de NSA ontwikkeld en misbruikt lekken in het SMB-protocol.

Update: Beveiligingsbedrijf Symantec stelt op Twitter dat de Petya-ransomeware inderdaad net als WannaCry gebruikmaakt van de Eternalblue-exploit voor de verspreiding. Beveiligingsbedrijf BitDefender bevestigt dit en gebruikt de aanduiding GoldenEye voor de ransomware. Er is inmiddels een Twitter-kanaal in het leven geroepen om betalingen aan het in de mededeling getoonde bitcoinadres te volgen.

Update 2: Kaspersky heeft de eerste statistieken over infecties per land gedeeld. Daaruit blijkt dat tot nu toe Oekraïne en Rusland het zwaarst zijn getroffen. RTL meldt op basis van eigen bronnen dat TNT eveneens is getroffen, maar het bedrijf kan dit niet bevestigen. Het farmaceutische bedrijf Merck meldt dat zijn computersystemen zijn getroffen door een ‘wereldwijde hack’.

Update 3: Beveiligingsonderzoeker Rik van Duijn, van het Nederlandse DearBytes, laat desgevraagd aan Tweakers weten dat het erop lijkt dat de malware zich via psexec en het huidige gebruikersaccount via het lokale netwerk probeert te verspreiden. Daarvoor heeft de malware ongeveer een uur de tijd, waarna een reboot plaatsvindt en het bericht verschijnt dat bestanden zijn versleuteld. Hij ziet eveneens Eternalblue als verspreidingsmechanisme. Hij zegt: “Als deze malware zich naast Eternalblue ook via kwaadaardige bestanden verspreidt en daarbij gebruikmaakt van CVE-2017-0199, dan is deze variant beter opgezet dan WannaCry.” Dat er daadwerkelijk van de genoemde kwetsbaarheid gebruik wordt gemaakt, is echter nog niet volledig duidelijk. Onder meer beveiligingsonderzoeker Matthew Hickey noemde deze mogelijkheid. De malware schijnt zich ook door het netwerk heen te bewegen aan de hand van wmi. Er lijkt geen killswitch in de Petya-ransomware te zitten zoals bij WannaCry het geval was.

Update 4: Reuters heeft een lijst met tot nu toe getroffen organisaties gepubliceerd. Het Duitse Posteo heeft laten weten dat het e-mailadres dat in het bericht van de ransomware wordt genoemd, sinds vanmiddag gesloten is. Daardoor kunnen geen betalingen geverifieerd worden en is decryptie na betaling niet mogelijk. Er wordt daarom aangeraden niet te betalen.

Update 5: Er bestaat onduidelijkheid over de vraag of er daadwerkelijk sprake is van de Petya-ransomware. Kaspersky claimt dat het om een nieuw soort ransomware gaat, die het zelf daarom NotPetya heeft genoemd. Onderzoeker Matthew Hickey zegt dat het idee dat er gebruikgemaakt wordt van de kwetsbaarheid met kenmerk CVE-2017-0199 mogelijk voortkomt uit het feit dat er tegelijkertijd een aanval met andere malware plaatsvond, genaamd Loki. AFP bericht dat de stralingsmetingen bij de Tsjernobyl-kerncentrale in Oekraïne handmatig moeten worden uitgevoerd omdat het op Windows draaiende controlesysteem door de internetaanval tijdelijk is uitgeschakeld.