In navolging van de grootschalige aanval afgelopen dinsdag zijn vele onderzoekers aan de slag gegaan met het onderzoeken van de malware. Hier zijn zeer interessante ontwikkelingen naar voren gekomen.
Toch geen ransomware?
Het betaalgedeelte van de ransomware zat niet al te best in elkaar, in tegenstelling tot de rest van de malware. Dit was opvallend, maar kan veel verschillende redenen hebben. Echter, lijkt het er nu op dat het ook helemaal niet de bedoeling is geweest om het betaalgedeelte te laten werken, of via de ransom-betalingen veel geld buit te maken. Evenals bij WannaCry overigens, dat ondanks zijn grote bereik en impact ook op een zeer knullige manier geld “probeerde” te verdienen.
Zoals het er nu naar uitziet, is NotPetya wiper malware in plaats van ransomware. Puur en alleen bedoeld om grote schade aan te richten en bestanden en systemen onbeschikbaar te maken. Het is niet mogelijk om bestanden terug te halen, anders dan via de back-ups, mits deze systemen niet ook zijn getroffen! Dat risico bestaat, want we hebben al gezien hoe de malware zich weet te manifesteren in interne netwerken en zich via slimme mechanismen breed kan verspreiden.
Geen verspreiding via internet
In tegenstelling tot WannaCry, verspreidt NotPetya zichzelf niet via internet. Wanneer een computer besmet raakt, zal deze proberen andere computers in het lokale netwerk te besmetten. De besmetting kan zich op deze manier wel uitbreiden, maar zal moeilijker overspringen naar andere organisaties dan WannaCry deed.
Overigens gebruikt NotPetya voor die interne verspreiding wel wat meer geavanceerde middelen dan WannaCry deed. Waar WannaCry alleen gebruik maakte van de EternalBlue en EternalMoon kwetsbaarheden, wendt NotPetya ook wat hacking-truukjes aan om zich in het interne netwerk te verspreiden. Zo worden op de geïnfecteerde computer opgeslagen autorisatietokens (hashes) hergebruikt om andere computers aan te vallen, wordt actief gezocht naar domain administrator credentials, en worden PSEXEC en WMIC gebruikt om op andere computers commando’s uit te voeren. Truukjes die ook penetration testers in hun arsenaal hebben voor het aanvallen van Windows-netwerken, en die niet afhankelijk zijn van specifieke kwetsbaarheden of missende patches.
Eén bron van besmetting
Als NotPetya zich niet via internet verspreidt, hoe raken bedrijven dan geïnfecteerd? De bron van alle problemen blijkt een gerichte aanval op M.E. Doc, financiële software uit Oekraïne. Aanvallers hebben het voor elkaar gekregen om de update van dit programma te infecteren met de malware. Elke organisatie die deze update heeft geïnstalleerd, haalde hiermee de malware naar binnen. Wat dan eigenlijk best ironisch is. Een goede stap om veel problemen te voorkomen is updaten, en dat verandert hiermee ook niet. Maar dat juist deze malware zich heeft weten te nestelen via een update zal wellicht bijdragen aan een gevoel van onzekerheid rondom updates, en zorgt er misschien juist weer voor dat bedrijven hier terughoudender in worden.
Er is nu dus een verklaring waarom de grootste schade door deze aanval is geleden in Oekraïne, maar ook voor het feit dat wereldwijd verschillende bedrijven ook zijn geraakt. Het betreft namelijk allemaal organisaties die door internationale samenwerkingen en verbonden netwerken, in contact staan met bedrijven in Oekraïne en/of die zelf gebruik maken van M.E. Doc.
Here's Maersk searching for people with experience in MeDoc. The plot thinkens. https://t.co/kQ0mEQZ6rS
Deze ontwikkelingen zijn naast zeer interessant ook best angstaanjagend. Het is aannemelijk dat bij deze aanval “statelijke actoren” in het spel zijn, die zeer gericht en destructief cyberaanvallen uitvoeren.
Als specialist in cybersecurity blijven wij de ontwikkelingen goed in de gaten houden en doen er alles aan om onze klanten te helpen zich te beschermen. Nog steeds is updaten ontzettend belangrijk (zeg ik het weer), en ook zijn er veel maatregelen die je kunt nemen om je interne netwerk te beschermen tegen het verder verspreiden van malware. Wij weten hier veel van, en kunnen je echt verder helpen. Neem gerust contact met mij op zodat ik je kan koppelen aan een van onze security specialisten: rdijkxhoorn@computest.nl of +31 (0)6 122 179 51.