Het kan niemand ontgaan zijn: deze week werden we opgeschrikt door een nieuwe ransomware-variant die zich razendsnel verspreidde. De malware liet zich voor het eerst in de Oekraïne zien. Eindgebruikers startten het vermoedelijk zelf op, op het moment dat ze een extern afgenomen softwarepakket dachten te openen.
Door ketenafhankelijkheden verspreidde het virus zich vanuit Oekraïne de hele wereld over. Onder andere containerbedrijf Maersk en pakketbezorger TNT werden getroffen.
Hoewel alle antiviruspakketten naar aanleiding van de WannaCry-aanval hun signatures hadden aangepast om misbruik van de kwetsbaarheid achter NSA exploit Eternalblue te kunnen voorkomen, hadden de makers van (Not)Petya de Eternalblue exploit dusdanig gemuteerd dat de meeste antiviruspakketten Petya niet detecteerden. Daarnaast verspreidt Petya (of beter: een als Petya gemaskeerde ransomware-variant, ook wel NotPetya genoemd) zich ook via de netwerkrechten van de gebruiker die de ransomware opent. Of via rechten die in het geheugen van die computer aanwezig zijn (oude beheersessies) en waartoe de gebruiker via zijn lokale beheerrechten toegang heeft.
Wat kunnen we doen om ons tegen Petya en vergelijkbare virussen te beschermen? Een aantal tips:
- Zorg dat systemen van de laatste updates zijn voorzien
- Zorg dat anti-virus-software overal is bijgewerkt
- Zorg dat een Windows-domein minimaal op 2012R2 functional level acteert
- Markeer elk account dat over enige vorm van beheerrechten beschikt als ‘protected user” (2012R2 functional level noodzakelijk)
- Zorg dat KB2871997 op alle oudere, nog ondersteunde, Windows versies is geïnstalleerd. Schakel vervolgens op oudere Windows versies (Windows 7, Windows 2008) credential caching expliciet uit (UseLogonCredential 0) -> https://support.microsoft.com/en-us/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
- Log op systemen altijd in met ‘normale’ gebruikersrechten (geen admin). Gebruik accounts met verhoogde ‘admin’-rechten (waarmee op andere systemen kan worden ingelogd) alleen op het moment dat ze echt nodig zijn
- Instrueer medewerkers extra terughoudend te zijn met het openen van onbekende of onverwachte bestanden die via e-mail worden aangeboden (e-mail lijkt in dit geval geen distributiemechanisme, maar dit kan bij andere varianten veranderen)
- Overweeg privémail die via HTTPS wordt geopend en mogelijk minder goed wordt gecontroleerd (tijdelijk) te blokkeren
- Isoleer systemen die niet gepatcht kunnen worden binnen het netwerk zoveel mogelijk
- Blokkeer TCP-poorten die gerelateerd zijn aan SMB en RPC (zoals 445/139/135) zoveel als, zeker daar waar het om koppelingen met externe netwerken gaat
