Petya Ransomware Cyberaanval

Petya: Wat is het en hoe kan het worden gestopt?
Bedrijven zijn kreupel door een aanval, genaamd ‘Petya’, de tweede grote ransomware-misdaad in twee maanden.

Veel organisaties in Europa en de VS zijn verlamd door een ransomware-aanval, genaamd “Petya”. De kwaadaardige software heeft zich verspreid binnen grote bedrijven, waaronder de adverteerder WPP, het voedingsbedrijf Mondelez, de juridische firma DLA Piper en de Deense transport- en vervoersmaatschappij Maersk. PC’s en data worden gegijzeld en er wordt losgeld gevraagd.

Het is de tweede grote wereldwijde ransomware-aanval in de afgelopen twee maanden. Begin mei werd de Britse National Health Service (NHS) geïnfecteerd met WannaCry, die gebruik maakte van een kwetsbaarheid die eerst openbaar werd gemaakt als onderdeel van een lek waarmee NSA-gerelateerde documenten in april online werden gezet door een hackergroep die zichzelf Shadow Brokers noemt.

De WannaCry of WannaCrypt ransomware-aanval heeft meer dan 230.000 computers getroffen in meer dan 150 landen, met de Britse gezondheidsdienst van het Verenigd Koninkrijk, de Spaanse telefoonbedrijf Telefónica en de Duitse overheidsspoorwegen onder de hardst getroffenen.

Net als WannaCry, verspreidt Petya snel door netwerken die Microsoft Windows gebruiken, maar wat is het, waarom gebeurt het en hoe kan het worden gestopt?

Wat is ransomware?
Ransomware is een soort malware die toegang tot een computer of zijn gegevens blokkeert en geld vraagt ​​om deze vrij te maken.

Hoe werkt het?
Wanneer een computer is geïnfecteerd, encrypteert ransomware belangrijke documenten en bestanden en vereist vervolgens een betaling, typisch in Bitcoin, voor een digitale sleutel die nodig is om de bestanden te ontgrendelen. Als slachtoffers geen recente backup van de bestanden hebben, moeten ze betalen als oplossing om niet al hun bestanden te verliezen.

Hoe werkt de Petya ransomware?
De Petya ransomware neemt computers over en eist $ 300, te betalen in Bitcoin. Zodra één computer geïnfecteerd is, verspreidt de kwaadwillige software zich snel over een organisatie met behulp van het EternalBlue-beveiligingslek in Microsoft Windows (Microsoft heeft in april een patch vrijgegeven, maar niet iedereen heeft deze geïnstalleerd) of via twee Windows-beheerdershulpmiddelen. De malware probeert de ene optie en als dat niet werkt, probeert het de volgende. “Het heeft een beter mechanisme om zich te verspreiden dan WannaCry,” zei Ryan Kalember van het cyberveiligheidsbedrijf Proofpoint.

Waar is het begonnen?
De aanval lijkt te zijn “gezaaid” door middel van een software update van een boekhoudprogramma dat bedrijven die werken met de Oekraïense regering moeten gebruiken, volgens de Oekraïense Cyber ​​Police. Dit verklaart waarom zoveel Oekraïense organisaties werden getroffen, waaronder overheid, banken, staatsvermogensbedrijven en de luchthaven en metro van Kiev. Het stralingsbewakingssysteem in Tsjernobyl werd ook offline genomen, waardoor werknemers portable stralingsmeters moeten gebruiken om niveaus in de externe zone van de voormalige kerncentrale te meten.

Hoe ver is het verspreid?
De “Petya” ransomware heeft grote storingen in grote bedrijven in Europa en de VS veroorzaakt, waaronder de reclamebureau WPP, het Franse bouwmaterialenbedrijf Saint-Gobain en de Russische staal- en oliebedrijven Evraz en Rosneft. Mondelez, advocatenkantoor DLA Piper, Deense scheepvaart- en transportbedrijf AP Moller-Maersk en Heritage Valley Health System, dat ziekenhuizen en zorginstellingen in Pittsburgh beheert.

Dus is dit nog een andere opportunistische cybercriminal?
Het liet zich aanvankelijk lijken dat Petya gewoon een andere cybercrimineel was die voordeel haalde uit cyberwapens die online zijn gelekt. Maar veiligheidsdeskundigen zeggen dat het betalingsmechanisme van de aanval te amateuristisch lijkt voor ernstige criminelen. Ten eerste bevat de losgeldnotitie hetzelfde Bitcoin-betalingsadres voor elk slachtoffer – de meeste ransomware creëert een uniek adres voor elk slachtoffer. Ten tweede vraagt ​​Petya de slachtoffers om met de aanvallers te communiceren via een e-mailadres dat door de e-mailaanbieder is geblokkeerd nadat ze ontdekten waar het voor werd gebruikt. Dit betekent dat zelfs als iemand het losgeld betaalt, ze niet kunnen communiceren met de aanvaller om de decryptiesleutel te vragen om hun bestanden te openen.

OK, dus wie is er achter de aanval?
Het is niet duidelijk, maar het lijkt waarschijnlijk dat het iemand die de malware wil vermommen als ransomware, terwijl het gewoon destructief is, met name voor de Oekraïense regering. Veiligheidsonderzoeker Nicholas Weaver vertelt in zijn cybersecurity blog Krebs on Security dat Petya een “opzettelijke, kwaadwillige, vernietigende aanval was of misschien een test vermomd als ransomware”.

Oekraïne heeft Rusland beschuldigd van eerdere cyberaanvallen, waaronder één op het elektriciteitsnet eind 2015 waardoor een deel van West-Oekraïne tijdelijk zonder elektriciteit kwam te zitten.

Wat moet u doen als u door de ransomware wordt beïnvloed?
Petya ransomware infecteert computers en wacht dan ongeveer een uur voordat de machine opnieuw wordt gestart. Terwijl de computer opnieuw wordt gestart, kunt u de computer uitzetten om te voorkomen dat de bestanden worden gecodeerd en probeer de bestanden van de machine te redden, zoals gemarkeerd door @HackerFantastic op Twitter.

Als het systeem opnieuw opstart met de ransom-melding, betaal het losgeld niet. Het e-mailadres van de “klantenservice” is uitgeschakeld, zodat u de de-cryptiesleutel toch niet kunt ontgrendelen. Ontkoppel uw pc van internet, formatteer de harde schijf en installeer uw bestanden van een back-up. Backup uw bestanden regelmatig op, installeer altijd de laatste Microsoft patches en houd uw anti-virus software up-to-date.

Meer info over Petya:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *