Petya, Petwrap, GoldenEye of ExPetr? Beveiligingsexperts mogen het niet eens zijn over de naam van de cyberaanval die 27 juni de wereld verraste, over het doel ervan zijn ze wel eensgezind. Het gaat om een virus vermomd als ransomware. Losgeld lijkt bijzaak. Zoveel mogelijk chaos creëren, dat is de inzet.
Dat stelt Dearbytes. Volgens de ict-beveiliger, die sinds januari 2017 onderdeel is van KPN, zijn er meerdere signalen dat het de verspreiders van Petya helemaal niet te doen is om losgeld, maar om sabotage en het creëren van wanorde.
Ook uit analyses van andere beveiligingsexperts komt naar boven dat de aanpak om losgeld te innen nauwelijks succesvol is en vermoedelijk niet de hoofdgedachte achter de aanval is.
De gebruikte mailbox waar slachtoffers na betaling van Bitcoins hun bestanden terug zouden krijgen, is al op de eerste dag van de aanval offline gehaald (waarschijnlijk door de provider) waardoor losgeld betalen geen zin heeft. Experts, waaronder DearBytes, veronderstellen zelfs dat de malware überhaupt geen functionaliteit bevat om na betaling de bestanden te ontsleutelen. Er zou slechts tienduizend euro aan losgeld zijn betaald, terwijl de schade door de aanval voor getroffen bedrijven in de miljoenen kan lopen.
Overigens raden ict-beveiligers bedrijven en organisaties die slachtoffer zijn geworden van gijzelsoftware af om te betalen aan cybercriminelen.
‘Steeds geraffineerder’
Dearbytes-directeur Erik Remmelzwaal benadrukt dat het belangrijk is dat bedrijven lessen trekken uit deze aanvalsgolf: ‘Ransomware wordt steeds geraffineerder’, waarschuwt hij.
‘In eerste instantie leken de overeenkomsten met WannaCry groot: ook Petya gebruikt Microsofts SMBv1-protocol voor infectie en verdere verspreiding binnen een netwerk. Maar daar lieten de Petya-auteurs het niet bij. De allereerste besmettingen met de ransomware blijken voort te komen uit de boekhoudsoftware MeDoc. Daarnaast veronderstellen sommige experts dat infecties via e-mail of zogenaamde watering hole attacks zijn ontstaan.’
Volgens de beveiliger verloopt de verspreiding eenmaal binnen het netwerk via zowel SMB als de Windows-beheertool PsExec en de Windows-component Windows Management Instrumentation (WMI).
‘De ransomware gaat met behulp van de publiekelijk beschikbare hackingtool Mimikatz zelf actief op zoek naar inloggegevens voor verdere verspreiding.’ Volgens Remmelzwaal neemt ransomware in slagkracht toe en heeft Nederland, dat een belangrijke kenniseconomie heeft, veel te vrezen van cyberdreigingen zoals Petya. Hij vindt dat de volgende grootschalige aanval niet als een verrassing moet komen.
Zomerperiode vormt risico
Remmelzwaal wijst erop dat aanvallers zorgvuldig het juiste moment kiezen om toe te slaan.
‘Vaak vindt een grootschalige uitbraak plaats op een vrijdagmiddag, zoals bij WannaCry het geval was. Niet geheel toevallig: aanvallers gokken erop dat het voor organisaties lastig is om op de drempel naar het weekend hun securityteams op te schalen. Petya, dat Oekraïne als primair doelwit had, was eveneens zorgvuldig gepland: een dag voor de Dag van de Constitutie.’
De Dearbytes-directeur waarschuwt dat de aankomende zomervakantie gewaakt moet worden voor momenten van verzwakking. Doordat de bezetting van beveiligingsafdelingen in die periode soms lager is, kan de beveiliging van een netwerk volgens hem in gevaar komen.
Petya, Petwrap, GoldenEye, ExPetr
Beveiligings-experts meldden 27 juni 2017 een wereldwijde aanvalsgolf van ransomware.
Computable-expert Maarten Hartsuijker gaat in zijn opinie-artikel in op hoe je die ransomware kunt bestrijden.
