Dinsdag zijn diverse bedrijven in India, Rusland, Oekraïne, het Verenigd Koningrijk en Nederland getroffen door ransomware, die door beveilingsdeskundigen benoemd is tot Petya. Onder de geïnfecteerden meldden zich onder andere grote banken, tv-stations en scheepvaartbedrijven. Voor zover bekend zijn er geen klanten van True getroffen bij de aanval.
Petya
Petya is een nieuwe ransomware-variant op de versie die we kennen van een maand terug waar een NSA-exploit in zit genaamd EternalBlue, welke gebruik maakt van een opening in het SMBv1-protocol (dit protocol staat standaard aan op onder andere Windows XP/2003).
De ransomware wordt verspreid binnen een bedrijfsnetwerk als een gebruiker klikt op een link in een phishingmail.
Het virus versleutelt bestanden en systemen die tegen betaling met cryptocurrencies (bijv. Bitcoins) weer vrijgegeven worden. Tenminste, dat werd aanvankelijk gedacht. Sinds dinsdagavond worden versleutelde bestanden en systemen ook niet meer na betaling vrijgegeven.
Beveiligingsdeskundigen vermoeden dat de aanval dan ook niet bedoeld is om geld te verdienen, maar om zoveel mogelijk schade aan te richten, al spreken andere berichten dit weer tegen. Zo heeft de hostingprovider het e-mailadres van de cybercrimineel geblokkeerd. Dit adres was cruciaal voor het verrichten van betalingen. Onduidelijk is dus wat precies het motief is van de cyberaanval of wie erachter zit.
Hetzelfde EternalBlue-lek werd in mei ook voor het WannaCry-virus gebruikt. Lees ook ons blog over het WannaCry-virus. Daar werd destijds een killswitch voor gevonden. Vooralsnog is er geen killswitch voor Petya ontdekt.
Wat te doen bij infectie?
Over het algemeen wordt geadviseerd om niet te betalen bij ransomware-aanvallen. In het geval van Petya geldt dit des te meer. Er zijn immers nog geen bewijzen dat men na betaling een key krijgt om de data te decrypten. Bovendien houdt u door het betalen voor een decryptiesleutel het systeem in stand. Ransomware verspreiden blijft dan voor kwaadwillenden een lucratieve business.
Belangrijk bij ransomware-aanvallen is het terug kunnen vallen op back-ups. Een goed back-upbeleid zorgt ervoor dat data goed hersteld kan worden als een calamiteit zoals een ransomware-aanval plaatsvindt.
Hoe we bij True omgaan met Petya / ransomware
True heeft zorgvuldig gecheckt of er geïnfecteerde digitale werkplek-klanten zijn. Dat lijkt niet het geval.
Mochten klanten wel geïnfecteerd worden, kunnen deze klanten middels managed back-ups, restore of VSS recovery de aangetaste data weer herstellen, mits zij deze diensten hebben ingeregeld. Het hebben van een goede back-upstrategie is in bij ransomware-aanvallen dan ook altijd aan te raden.
Daarnaast heeft True per klant Software Restriction Policies ingeregeld. Dit is een beleid waarbij gebruikers niet zomaar Executables (denk aan het aanklikken van .exe-bestanden) kunnen uitvoeren. Daarnaast zijn een goede antivirus en firewalls van essentieel belang.
Bij True maken we gebruik van next-generation firewalls. Een next generation firewall laat niet alleen het dataverkeer door op basis van de benodigde communicatiepoorten, maar analyseert ook alle data-verkeer inhoudelijk en kan, indien nodig, deze pakketten gelijk blokkeren bij een verdachte inhoud (IDS/IPS). Ook defensieve zaken zoals URL-filtering en -blokkering worden actief toepast. Onze infrastructuur is daarnaast gesegmenteerd, waardoor eventuele aanvallen snel te isoleren zijn.
Ondanks de door ons getroffen maatregelen blijft het belangrijk om als gebruiker van systemen en IT-professional alert te zijn op de risico’s. Vooralsnog is er een risico op infectie.
True inventariseert de vervolgstappen voor alle digitale werkplekken in het beheer, en houdt de ontwikkelingen rondom Petya in de gaten om de risico’s te blijven minimaliseren. Mochten er nieuwe ontwikkelingen plaatsvinden, dan kun je deze op ons blog lezen.
Meer achtergrondinformatie is te lezen op Tweakers.net. Microsoft heeft tevens een uitgebreide technische analyse over Petya geschreven. Deze analyse is hier te lezen.
E-book: veilig gedrag en slimme technologie
IT-security gaat over veilig gedrag en slimme technologie. Hoe bereik je de goede balans tussen menselijk gedrag, processen en technologie? In het e-book zoomen we in op de volgende onderwerpen:
- Veiligheid is meer dan technologie
- Hoe bereik je compliance en security?
- Oplossingen en tools
- Checklist #1: Ga de uitdaging aan
- Checklist #2: Is mijn IT-securityplan compleet?