• Petya Ransomware - Petware

Petya Ransomware - Petware

28 juni 2017

Op 27 juni 2017 begon een nieuw virus (Petya/Petware), meer bepaald een ransomware-infectie, zich te verspreiden vanuit Oekraïne, met circa 12.500 besmette computers. Vervolgens stootte het virus snel door naar Rusland en Europese landen zoals Denemarken, Nederland, Spanje, Frankrijk, het Verenigd Koninkrijk en België. Later verspreidde het virus zich wereldwijd naar onder andere Brazilië en de Verenigde Staten. 

De nieuwe ransomware, Petya of Petware, verspreidt zich blijkbaar via twee bekende kwetsbaarheden, waaronder een exploit voor SMB (EternalBlue/DoublePulsar), dat ook wordt gebruikt door de Wannacry (WannaCrypt0r 2.0) ransomware. Bovendien deelt het gelijkaardige code met het bekende “Ransom: Win32/Petya”, vandaar zijn naam, maar het is meer geavanceerd dan zijn voorganger. Zo kan de ransomware zich lateraal verplaatsen, wat betekent dat er slechts één besmette machine of apparaat nodig is om een groter netwerk te beïnvloeden. De ransomware verspreidt zich via een interne Windows-toolkit (WMIC) en via het Telnet-alternatief PsExec. 

Petware is o.a. in staat om: 

  • aanmeldingsgegevens te stelen of bestaande actieve sessies te hergebruiken.
  • file-shares te gebruiken om het kwaadaardige bestand over te zetten naar machines in hetzelfde netwerk.
  • bestaande legitieme functionaliteiten te gebruiken om de payload uit te voeren of SMB-kwetsbaarheden te misbruiken voor machines zonder de recentste patches.

Ransomware verspreidt zich algemeen via verschillende kanalen, bv. geïnfecteerde e-mailbijlagen, niet-bijgewerkte programma's, gratis softwaredownloads en gecompromitteerde websites. De initiële aanvalsvector van Petware is momenteel onbekend, maar het ziet ernaar uit dat het virus werd verspreid via een Excel-document met een valse Windows-handtekening (LokiBot).

Na activering encrypt de ransomware bepaalde bestandstypes die opgeslagen zijn op een apparaat en/of netwerk. Het is bekend dat de Petware-ransomware de volgende extensies encrypt: “.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd. kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.v di.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv .work.xls.xlsx.xvd.zip”. Zodra de ransomware actief is, verschijnt een bericht dat aanbiedt om de gegevens te decrypteren als een betaling wordt uitgevoerd tegen een vermelde deadline. 

De actuele informatie geeft aan dat systemen die uitgerust zijn met een patch tegen WannaCry, nog steeds kwetsbaar zijn voor Petware. We hebben momenteel weet van besmettingen op verschillende besturingssystemen (Windows XP, 7 en 10). 

Wat kunnen we als organisatie doen tegen dit soort ransomware? 

  • Niet betalen, zeker niet voor Petware, want het e-mailadres dat de ontcijferingssleutel aanbiedt, is offline. Er bestaand andere methoden om na een ransomware-aanval te herstellen. 
  • Maak degelijke back-ups om zeker te zijn dat u met zo weinig mogelijk impact een herstelling kunt uitvoeren.
  • Voer updates van uw systemen tijdig uit en zorg dat de nodige patches geïnstalleerd zijn (servers, werkstations, enz.). 
  • Update antivirusprogramma's, inbraakdetectie-/preventiesystemen (IDS/IPS) en overweeg Advanced Endpoint Protection (AEP).
  • Voorkom dat werknemers lokale administratorbevoegdheden hebben.
  • Zoek naar de volgende “geplande taak” en verwijder “C:\Windows\system32\shutdown.exe /r /f” 
  • Zorg ervoor dat werknemers zich bewust zijn van bedreigingen voor de cyberbeveiliging door middel van bewustzijnscampagnes en opleiding.