Op dit moment waart een nieuwe variant ransomware rond over de wereld, inmiddels bekend als Petya. Deze variant heeft grote impact op een breed scala van industrieën en organisaties, met daaronder kritieke infrastructuur als energie-, bank- en transportsystemen. Het meest in het oog springende slachtoffer in Nederland is APM Terminals op de Maasvlakte. De hele operatie ligt daar al twee dagen stil!
De volgende aanval is waarschijnlijk al onderweg!
Dit is een nieuwe generatie ransomware, specifiek ontworpen om heel snel misbruik te maken van recente aanvallen. Petya mikt op de dezelfde zwakheden als die blootgelegd zijn bij de recente Wannacry aanval, afgelopen mei. Onze partner Fortinet gebruikt voor deze variant de term ransomworm . In deze variant, wordt niet één enkele organisatie aangevallen, maar wordt een ‘schot hagel tactiek’ gebruikt, waarmee elk apparaat dat Petya kan vinden, door de worm wordt aangevallen.
Het lijkt erop dat deze aanval is begonnen met de distributie van een Excel document dat gebruik maakt van een bekende Microsoft Office gevoeligheid. Wanneer een apparaat eenmaal geïnfecteerd is met deze vector, gaat Petya gebruik maken van dezelfde kwetsbaarheid als waarmee Wannacry zoveel succes had. Het wormachtige gedrag van deze malware kan ontstaan door een actieve probe voor een SMB server. Het lijkt zich te verspreiden door EternalBlue en WMIC.
Zo gauw een kwetsbaar apparaat is ontdekt, begint Petya met het beschadigen van de Master Boot Record (MBR). Vervolgens krijgt de gebruiker het inmiddels beruchte scherm te zien waarop te lezen valt dat alle bestanden versleuteld zijn en dat er $300 losgeld in Bitcoins betaald dient te worden. Er wordt nadrukkelijk bij vermeld dat uitzetten van de computer zal resulteren in een compleet verlies van het systeem.
Deze tactiek wijkt af van de countdown klok of het geleidelijk wissen van data, die gezien zijn in andere versies ransomware. Bij de meeste ransomware aanvallen, is het enige potentiele verlies data. Omdat Petya de Master Boot Record wijzigt, loopt men het risico het complete systeem te verliezen. Daar bovenop initieert Petya elk uur een reboot van het systeem, waarbij steeds een additioneel denial of service element toegevoegd wordt aan de aanval.
Vreemd genoeg gebruikt Petya dezelfde aanvalsvectoren als Wannacry, daarbij gebruikmakend van de identieke Microsoft Office kwetsbaarheden, die eerder dit jaar al blootgelegd waren. Maar, omdat meerdere aanvalsvectoren worden gebruikt bij deze aanval, zal simpel patchen niet volstaan om de volledige aanval te neutraliseren. Dit betekent dat patching gecombineerd dient te worden met goede security tools en een goede werkwijze op securitygebied.
Fortinet klanten waren bijvoorbeeld beschermd tegen alle aanvalsvectoren omdat die gedetecteerd worden door de ATP, IPS en NGFW producten van Fortinet. Verder heeft het Fortinet AV team enkele uren na de ontdekking van Petya, een nieuwe antivirus signature uitgegeven, waarmee de eerstelijns verdediging verbeterd is.
Er zit een aantal interessante aspecten aan deze aanval. Ondanks de vele berichten over Microsoft kwetsbaarheden en de geleverde patches, én de wereldwijde aandacht voor de eerdere Wannacry aanval, zijn er nog steeds duizenden organisaties, die niets hebben ondernomen. Zelfs organisaties die kritieke infrastructuren managen. Het zou trouwens best kunnen dat dit een test is voor toekomstige aanvallen, waarbij gemikt zal worden op recent onthulde kwetsbaarheden. Als nu al zoveel organisaties niets doen tegen, al maanden of zelfs jaren bekende kwetsbaarheden, en waarvoor al net zo lang patches beschikbaar zijn…
Samenvattend kunnen we twee dingen stellen: 1) veel te veel organisaties hebben te weinig aandacht voor hun security werkwijze. Wanneer deze organisaties slachtoffer worden van een aanval, waarbij gebruik gemaakt wordt van allang bekende kwetsbaarheden is het echt ‘eigen schuld, dikke bult’. Ook bij deze aanval is gebruik gemaakt van kwetsbaarheden waarvoor al geruime tijd patches voorhanden zijn. En 2) deze organisaties hebben geen adequate detectiemiddelen in huis.
Ransomware, wen er maar aan!
De groei van ransomware, in een verrassend aantal varianten, is in het afgelopen jaar dramatisch geweest. We kunnen nu verschillende soorten ransomware zien en volgen.
Traditioneel is ransomware een gerichte aanval, waarbij het slachtoffer vooraf is uitgezocht en de aanval ontworpen is voor die specifieke organisatie of netwerk. In zo’n geval worden kritieke onderdelen versleuteld, bijvoorbeeld data, en een losgeld wordt geëist om een sleutel te verkrijgen om het slot er weer af te kunnen halen.
Er is ook een groei in de denial of service gerelateerde aanvallen. Die zijn er in verschillende vormen. Eerst wordt een denial of service aanval uitgevoerd, waarbij klanten en gebruikers geen gebruik meer kunnen maken van diensten. Losgeld wordt gevraagd om de DoS aanval te staken.
Mirai, gelanceerd augustus en september vorig jaar, was de grootste DoS aanval in de geschiedenis, deels vanwege het ‘hefboomeffect’ van honderdduizenden aangetaste IoT apparaten. Recent is een nieuw Mirai- achtig, op IoT gebaseerd, botnet ontdekt, genaamd Hajime. Dit botnet gebruikt aangetaste DVR apparaten om organisaties aan te vallen met een overweldigende DDoS aanval. Er wordt om losgeld gevraagd om te aanval te stoppen. Hajime is een next-generation IoT bedreiging. Het is zeer intelligent in elkaar gezet en ondersteunt op dit moment vijf verschillende platformen.
Het bevat een toolkit met automated tasks, inclusief dynamische wachtwoordlijsten waardoor het ge-update kan worden en het tracht menselijk gedrag te imiteren om zo onder de detectieradar te blijven.
Een bijzondere ontwikkeling, is de ontwikkeling van ransomware as a service (RaaS). Hierbij kunnen minder technisch geschoolde criminelen de beschikking krijgen over ransomware om zo hun eigen afpersingsbusiness te starten, in ruil voor een percentage van de opbrengst voor de makers. Recent is met RaaS de allereerste aanval op een MacOS waargenomen. Tot dan toe nog niet serieus geprobeerd door aanvallers.
We hebben nu recent bedreigingen toegevoegd zien worden aan de ransomware familie. Met Wannacry hebben we voor het eerst gezien dat ransomware designers een combinatie maken met een worm om de snelheid van de aanval en het effect ervan te vergroten. En nu met Petya, zien we de toevoeging van een aantasting van de Master Boot Record, om zo de consequentie van niet betalen te verhogen, van het verliezen van persoonlijke data, tot het mogelijke verlies van het gehele systeem.
Fortinet beveilgingen
AV Signature:
W32/Petya.EOB!tr
W32/Agent.YXH!tr
Andere signatures worden onderzocht
IPS Signature:
MS.Office.RTF.File.OLE.autolink.Code.Execution
Created on Apr 13, 2017
Last Updated on Jun 19, 2017
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
Created on Mar 14, 2017
Last Updated on Jun 05, 2017
Fortinet’s WannaCry IPS rules lijken bescherming te bieden tegen bedreigingen die het gemunt hebben deze kwetsbaarheden. Fortinet teams zijn dit aan het verifieren.
Sandbox Detection:
Fortinet Sandbox (FSA) detects this attack.
TOR Communications:
Block TOR Outbound traffic via AppControl signatures.
Critical Microsoft updates for Petya
Security Update for Microsoft Windows SMB Server: March 14, 2017
Security update for Office 2016: April 11, 2017
Waarschijnlijk is de volgende ransomware aanval al bezig en wachten de cybercriminelen totdat voldoende machines geïnfecteerd om ermee naar buiten te komen.
Wilt u weten of uw netwerk risico loopt en wat u daar aan kunt doen? Neem contact op met de security experts van SolidBE. Wij bekijken samen met u de stappen die genomen moeten worden. www.solidbe.nl. Mail naar info@solidbe.nl of bel 088 – 88 99 000
