Gisteren berichtten we al over de recente wereldwijde ransomware-uitbraak. In de afgelopen dagen is de ransomware Petya, of eigenlijk NotPetya, veel in het nieuws geweest. We gaan nu dieper in op de gebeurtenissen en de gevolgen.
Afgelopen dinsdagmiddag druppelden berichten binnen uit Oekraïne dat er sprake was van een internetaanval. Niet veel later verschenen er berichten op Twitter over computerschermen met daarop een proces dat zich voordoet als chkdsk of een waarschuwing dat bestanden zijn versleuteld.
Niet veel later bleek er ook een aanval gaande in Rotterdam, waarbij het containerbedrijf Maersk werd getroffen. Ook organisaties in onder andere Duitsland, Polen en Spanje bleken getroffen te zijn.
Kort onderzoek wees uit dat malware (malafide software) de systemen onbruikbaar maakte en er bitcoins geëist werden als losgeld. De getoonde waarschuwing legt uit dat er een e-mail naar het adres wowsmith123456@posteo.net gestuurd moet worden met daarin het adres van waaruit de betaling heeft plaatsgevonden. Daarnaast moet er een installation key meegestuurd worden. Zo zouden slachtoffers dan een ontgrendelingssleutel kunnen ontvangen. Het Berlijnse Posteo, waar het adres was geregistreerd, meldde dinsdag echter dat het e-mailadres sinds de middag was geblokkeerd. Daardoor werd betalen zinloos en waarschuwden onderzoekers dit dan ook niet te doen. Opvallend is dat de aanval een dag voor een feestdag plaatsvond; in Oekraïne is 28 juni de Dag van de Constitutie.
Het getoonde bericht na versleuteling van het systeem.
In eerste instantie werd de ransomware Petya genoemd. Dit bleek na onderzoek niet geheel te kloppen. Delen van de Petya-code zijn hergebruikt, maar dit gaat vooral om het uiterlijk van het virus. Achter de schermen gaat het om een nieuw soort malware, waardoor het de naam NotPetya heeft gekregen. De Petya-ransomware werd in 2016 ontdekt en gebruikte bijvoorbeeld ook het chkdsk-proces om te simuleren dat er een controle van de harde schijf werd doorgevoerd. In feite vond dan echter encryptie van het systeem plaats. Aangezien deze variant hiervan afwijkt, is het onjuist om de benaming Petya te gebruiken.
Microsoft heeft geanalyseerd hoe het virus werkt. De eerste besmetting vond plaats via het Oekraïense boekhoudbedrijf MeDoc. Microsoft claimt bewijs te hebben dat de infectie plaatsvond door de updater van MeDoc-software. Deze duidt de update aan als EzVit.exe. Dat verklaart waarom zoveel bedrijven in Oekraïne en Rusland getroffen zijn. Dat verklaart ook waarom het virus zich richt op bedrijven en minder op consumenten. Of iedere geïnfecteerde organisatie op deze manier besmet is blijft onduidelijk. Kaspersky, van de welbekende antivirus, maakte bovendien bekend dat de malware verspreid wordt via een kwaadaardige website, ook wel een watering hole genoemd.
Statistieken van besmetting volgens ESET.
De gijzelsoftware lijkt verschillende methoden te gebruiken om zich na infectie van een systeem verder te verspreiden. Een van die manieren is een lek in een smb-protocol. Dit was ook de basis voor het WannaCry-virus. Hiervoor heeft Microsoft in maart al beveiligingsupdates verstrekt.
Het virus steelt daarnaast inloggegevens via een tool. Als deze gegevens gevonden zijn, probeert de ransomware zich daarmee verder over het netwerk te verspreiden. Als het slachtoffer een beheerdersaccount heeft, gaat deze besmetting beter en sneller. Het virus verspreidt zich dan binnen korte tijd over een heel netwerk. Zo kunnen ook met Microsoft-patches geüpdatete systemen getroffen worden.