DearBytes: ‘Ransomware Petya kan grote economische schade veroorzaken’

Een nieuwe ransomwareaanval zorgt wereldwijd voor problemen, ook in Nederland. Petya gijzelde de bestanden van meerdere grote Nederlandse bedrijven. Het Nationaal Cyber Security Centrum waarschuwt voor grote economische schade. DearBytes roept Nederlandse organisaties dan ook op om permanent alert te blijven.

Petya en WannaCry vertonen overeenkomsten; met name omdat Petya zich ook richt op een lek in het SMBv1-protocol van Microsoft. De ransomwarevariant maakt daarbij eveneens gebruik van de EternalBlue-exploit. Het verschil is echter dat Petya zich ook op andere manieren probeert te verspreiden. Door gebruik te maken van reguliere beheertools en vrij beschikbare hackingtools kan het zo ook systemen infecteren die volledig up-to-date zijn.

Lange tijd hinder van Petya

"Door de automatische verspreiding kan de infectie zeer snel een geheel bedrijfsnetwerk infecteren. Petya is dan ook geschreven om op één moment alle computers tegelijkertijd onbruikbaar te maken," zegt Erik Remmelzwaal, directeur bij DearBytes. "Een ander groot verschil is dat Petya geen kill-switch bevat zoals WannaCry, waardoor de aanval nog wel een tijd lang tot infecties en schade kan leiden. Bovendien ligt een herhaling van zetten voor de hand, waardoor we komende tijd nog meer ransomwareaanvallen kunnen verwachten."

Mogelijkheden van infecties

De Oekraïense politie heeft bevestigt dat initiële infecties voortkomen uit een applicatie genaamd MeDoc, dat juist in Oekraïne veel gebruikt wordt voor belastingzaken. Maar experts zijn er nog niet uit hoe het bij organisaties terecht is gekomen die geen gebruik maken van MeDoc. Hiervoor zijn de volgende mogelijkheden:

  • De getroffen bedrijven zijn actief in Oekraïne of werken met Oekraïense medewerkers.
  • De infectie kan - net als bij WannaCry - het gevolg zijn van de verspreiding via SMB.
  • De aanvaller heeft een botnet van een andere crimineel gehuurd om de malware te verspreiden.
  • Tot slot zijn er signalen dat de malware zich via e-mail heeft verspreid.

Te nemen maatregelen

DearBytes adviseert organisaties het volgende te doen:

  • Controleer of er per e-mail bestanden zijn binnengekomen met de naam Order-20062017.doc. Dit bestand lijkt deel uit te maken van de ransomwarecampagne.
  • Zet poorten in de firewall zoveel mogelijk dicht, maar in elk geval de SMB poort 445.
  • Rol beschikbare patches zo snel mogelijk uit.
  • Verwijder besmette systemen onmiddellijk van het netwerk.
  • Maak back-ups voordat het te laat is.
  • Aangezien de infectie verspreid kan zijn via beheertools, is het verstandig om de beheerrechten van gebruikers in te perken.

Betalen losgeld werkt averechts

Het is een veelgehoord advies bij ransomware: betaal nooit. Remmelzwaal beaamt dat, ook bij een besmetting met Petya. "Door te betalen, houd je een verwerpelijk businessmodel in stand, ook al is geld verdienen hier wellicht helemaal niet het motief. Bovendien is inmiddels betalen zinloos geworden omdat de mailbox die daarvoor door de aanvallers in het leven is geroepen, offline is gehaald. Betaling van het losgeld leidt dus niet tot herstel van systemen of bestanden."

Lees ook
Vooruitblik 2024 E-Storage: Waarom zou je Bitcoins betalen?

Vooruitblik 2024 E-Storage: Waarom zou je Bitcoins betalen?

2023 kunnen we zien als een kantelpunt. Waar organisaties zich tot nu toe vooral hebben gericht op de preventie van cyberaanvallen, is bij velen nu het bewustzijn gegroeid dat dit niet meer voldoende is.

Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint, publiceert vandaag de tiende editie van het jaarlijkse State of the Phish-rapport. Hieruit blijkt dat meer dan twee derde (69%) van Nederlandse werknemers hun organisaties bewust in gevaar brengt. Dit leidt tot ransomware- of malware-infecties, datalekken of financieel verlies. Ondanks een lichte daling van succesvolle phishing-aanvall1

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1