Petya: grootschalige ransomware campagne

Petya: grootschalige ransomware campagne

DearBytesAlertsPetya: grootschalige ransomware campagne

 
English? Go to the English version.

Wat is er aan de hand?

Er is een wereldwijde uitbraak van een nieuwe ransomware variant gaande, genaamd "Petya". De ransomware zorgt wereldwijd voor allerlei problemen bij organisaties. Media besteden er veel aandacht aan vanwege de grote schaal waarop de ransomware wordt verspreid. Ransomware is een soort computervirus wat de bestanden op de pc of in het netwerk ‘gijzelt’ door deze te versleutelen waarna er vervolgens geld gevraagd wordt om de bestanden te ontsleutelen en vrij te geven.

Zie voor meer informatie onder andere deze berichten:

https://tweakers.net/nieuws/126441/grote-petya-ransomwareaanval-treft-organisaties-meerdere-landen.html

http://nos.nl/artikel/2180251-meer-bedrijven-in-nederland-getroffen-door-ransomware-aanval.html

Wij adviseren nooit om losgeld te betalen, maar aangezien de mailbox offline is gehaald door de aanvaller(s), heeft dat nu ook echt geen zin meer.

Een uitgebreide analyse van Petya is hier te vinden: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

 

Waarom is dit belangrijk?

De ransomware wordt op grote schaal verspreid en lijkt zich net als WannaCry te richten op ungepatchte Windows systemen. Hetzelfde lek wordt misbruikt, namelijk dat in het SMB protocol V1. Tevens tracht de malware zich via andere manieren te verspreiden. Door de automatische verspreiding kan de infectie heel snel op alle plekken in de wereld belanden.

Tevens wordt door de Oekraïense politie bevestigd dat de malware initieel door een lek in MeDoc software is binnen gekomen. En aangenomen wordt dat het daarna zich automatisch is gaan verspreiden, ook naar andere organisaties.

Op wie is dit van toepassing?

De malware richt zich tot Windows systemen. Elke organisatie is dus in principe vatbaar. Na eerste infectie zal de malware zoeken naar andere computers om te infecteren binnen het netwerk. Dit gebeurt op verschillende manieren, waaronder het lek in SMB dat eerder ook door WannaCry gebruikt werd. Echter, dit is niet de enige verspreidingsmethode. Ook via WMI en PSEXEC tracht Petya ransomware zich te verspreiden.

Elke Windows versie heeft een zogenoemd Server Message Block (SMB), een standaard onderdeel in alle versies om bestanden te kunnen uitwisselen. In deze SMB is een enkele weken geleden een kwetsbaarheid ontdekt, waardoor het SMB vatbaar is voor infecties door bijvoorbeeld malware/ransomware.

Elke kwetsbaarheid krijgt een uniek nummer, een zogenoemde CVE score. Het nummer van deze kwetsbaarheid is CVE-2017-0143 tot en met CVE-2017-0148. Microsoft heeft het geregistreerd onder het nummer MS17-010.

Meer details kunt u hier vinden: https://technet.microsoft.com/library/security/MS17-010

Wat kunt u doen?

Aangezien Microsoft reeds patches heeft uitgebracht is het zaak deze zo spoedig mogelijk uit te rollen. Tevens adviseren wij additionele mitigerende maatregelen om getroffen systemen zo snel mogelijk te herkennen en van het netwerk te verwijden, gezien de potentiele impact en vermoedelijke doorlooptijd van een patch uitrol.

Controleer in uw e-mail of gebruikers een bestand hebben ontvangen met naam "Order-20062017.doc", wat onderdeel lijkt uit te maken van de ransomware campagne.

McAfee biedt bescherming met een EXTRA.DAT, alsmede via de cloud-lookups met Global Threat Intelligence (GTI): https://kc.mcafee.com/corporate/index?page=content&id=KB89540&actp=null&viewlocale=en_US&showDraft=false&platinum_status=false&locale=en_US

Ook detecteren McAfee producten het virus als ransom-petya met dekking via DAT versie 8574. Dit is een automatische dagelijkse update.

PSEXEC wordt in deze aanval gebruikt. Dat is een bestand dat McAfee herkend als potentieel kwaadaardig in de categorie 'Remote Administration Tools'. Omdat dit soort tools ook om legitieme redenen gebruikt wordt, kan het zijn dat organisaties een exclusion voor PSEXEC of zelfs alle Remote Administration Tools heeft opgenomen. Het is ons advies om die uitzondering in het licht van deze aanval zoveel mogelijk terug te draaien.

Voor Fortinet gebruikers zijn de volgende protectie maatregelen.

AV Signature
W32/Petya.EOB!tr
W32/Agent.YXH!tr
Andere signatures worden nog onderzocht.

IPS Signature:
MS.Office.RTF.File.OLE.autolink.Code.Execution

CreatedApr 13, 2017
Last UpdatedJun 19, 2017

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

CreatedMar 14, 2017
Last UpdatedJun 05, 2017

Quote van Fortinet: "In addition, Fortinet’s WannaCry IPS rules appear to protect against exploits targeting these vulnerabilities. Fortinet teams are verifying this claim."

Sandbox Detection:

Fortinet Sandbox (FSA) detecteert deze aanval.

TOR Communications:

Block TOR Outbound traffic via AppControl signatures.

Voor meer informatie van Fortinet over te nemen maatregelen tegen Petya, bekijk https://fortinet.uberflip.com/petya-central en https://blog.fortinet.com/2017/06/27/new-ransomware-follows-wannacry-exploits.

Bent u al getroffen door ransomware en zoekt u Incident Response hulp, neem dan contact met onze 24×7 hulplijn op: 0251-750250.

Naar aanleiding van deze suggestie van Dave Kennedy (@hackingdave) hebben wij Access Protection Rules gebouwd voor McAfee VirusScan Enterprise en Endpoint Security 10.x. Deze regels kunnen van toegevoegde waarde zijn zodra ineens nieuwe varianten opduiken die zich vergelijkbaar gedragen. Die zien er als volgt uit waarmee u ze kunt nabouwen:

McAfee VirusScan Enterprise:

 

McAfee Endpoint Security:

    

Wat doet DearBytes?

Endpoints die beheerd worden door DearBytes zijn beschermd, gebruikmakend van bovenstaande detectiemiddelen van McAfee.

Bij organisaties waar DearBytes vulnerability scanning beheert, zal een scan op MS17-010 worden uitgevoerd en resultaten worden gedeeld.

Om bedreigingen zoals Ransomware te detecteren, heeft DearBytes de Security Monitoring Service waarin gebruik wordt gemaakt van een bundeling van verschillende tools. Deze tools omvatten een Asset discovery (welke systemen zijn aanwezig in uw netwerk), een Vulnerability Assessment (wat is de status van deze systemen), Intrusion Detectie (wat komt op deze systemen af), Behavioral monitoring (wat in ongewoon gedrag in uw omgeving) en SIEM (het correleren van logbestanden en events zodat abnormale of inzichtbare transacties inzichtelijk worden). Deze gebundelde aanpak is een zeer effectieve manier om bedreigingen zoals Ransomware vroegtijdig te herkennen en te mitigeren.

 

Changelog

  • 20:47 - Advies toegevoegd om niet het losgeld te betalen. Extra verwijzigingen toegevoegd naar Tweakers en McAfee.
  • 23:59 - Instructies voor access protection rules toegevoegd. Beschrijving van verspreidingsmethodiek bijgewerkt. Advies toegevoegd om PSEXEC als ongewenst te bestempelen. Initiële infectie via MeDoc toegevoegd.
  • 11:40 - Informatie toegevoegd over McAfee DAT versie 8574, een dagelijkse automatische update die helpt tegen Petya.
  • 11:48 - Advies toegevoegd voor AlienVault gebruikers.
  • 14:00 - Advies toegevoegd voor Fortinet gebruikers.

Blijf op de hoogte

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.