Bedrijfswereld op zijn kop door ransomware

Op dinsdag 27 juni werden heel wat bedrijven wereldwijd opnieuw opgeschrikt door een ransomware-aanval. KMO’s, organisaties en grote ondernemingen in landen zoals Oekraïne, Rusland, India, Nederland en het Verenigd Koninkrijk werden succesvol getroffen door de Petya ransomware. De eerste meldingen over de verspreiding begonnen met claims dat banken, energiemaatschappijen, tv-stations en bedrijven in Oekraïne getroffen werden door een internetaanval. Hierna dook de ransomware ook op in andere landen. Tijd voor een woordje uitleg!

Geavanceerde ransomware

Net als WannaCry blijkt Petya gebruik te maken van de Eternalblue-exploit om zich te verspreiden. Ook wordt er opnieuw gevraagd om losgeld in Bitcoins te betalen. Maar waar WannaCry zich specifiek op één kwetsbaarheid in Windows richt, breidt deze nieuwe ransomware zich ook uit in interne computernetwerken met WMIC en PSEXEC. Volgens Mikko Hypponen, hoofdonderzoeker bij F-Secure, betekent dit dat systemen mét een patch ook geïnfecteerd kunnen worden. Eenmaal binnengedrongen, gaat Petya zich via andere kwetsbaarheden verder in het netwerk nestelen. Anders dan voorgaande ransomware, encrypteert Petya bestanden niet één voor één.

2 fasen

Deze ransomware herstart de computer van zijn/haar slachtoffers eenmaal de payload ingeladen is en het virus geactiveerd wordt (fase 1 genoemd).
In ‘Fase 2’ gaat de computer -na de herstart dus- automatisch een schijfcontrole uitvoeren. Voor de slachtoffers ziet deze controle eruit alsof ze vanuit Windows opgestart wordt. Helaas is het de interface van het virus dat op dat moment de Master File Table (MFT) van de harde schijf encrypteert. De Master File Table (MFT) bevat hoofdzakelijk metadata over elk bestand en elke map op het NTFS bestandssysteem dat gebruikt wordt door Windows NT en hoger. Het resultaat hiervan is een onbruikbare bootsector.

Simpel gezegd kan de computer nu niet langer correct opgestart worden waardoor de toegang tot het volledige systeem beperkt wordt en de slachtoffers enkel de ransomware-boodschap op hun scherm te zien krijgen.

Is je computer geïnfecteerd? Dan heb je tijdens ‘Fase 1’ nog kans om je gegevens te recupereren. Herstart je pc en zie je de ransomware-boodschap verschijnen? Schakel je computer dan onmiddellijk uit. Zo wordt het encryptieproces onderbroken en wordt je data niet verder geïmpacteerd. Hierna kunnen we een externe machine of drager inzetten om je gegevens te redden.

Laatste ontwikkeling

PT Security and Cybereason hebben aangegeven een Kill-Switch ontdekt te hebben voor de Petya ransomware: door in de ‘C:\Windows-folder’ een ‘read-only’ map aan te maken met de naam ‘perfc’ zou de aanval gestopt worden. Daarmee is die bepaalde computer wel beter beschermd, maar helaas stopt het de verspreiding van het virus naar andere kwetsbare computers niet.

Hoe kan je een infectie met Petya vermijden?

In onze vorige blog over de WannaCry cyberaanval, gaf ik je reeds een aantal belangrijke stappen mee die je als bedrijf kan ondernemen om een dergelijke cyberaanval zonder kleerscheuren te overleven.

Kort samengevat zijn het deze acties die je proactief kan ondernemen om de digitale continuïteit van je KMO te verzekeren:

  • Zorg ervoor dat besturingssystemen altijd bijgewerkt zijn én dat beschikbare security patches razendsnel geïnstalleerd worden. Het kleinste lek dat ontdekt wordt, komt immers onmiddellijk in het vizier van hackers.
  • Back-up, back-up, back-up! Volg hier de 3-2-1 regel die stelt dat je niet genoeg hebt aan één back-up maar alle belangrijke bestanden meerdere keren en op verschillende locaties dient op te slaan.
  • Installeer een professionele firewall die specifieke toegangspoorten blokkeert en ook de systemen monitort op nog maar de kleinste bedreiging die het systeem probeert aan te vallen.
  • Open nooit bijlages van verdachte e-mails. In het geval van Petya werden namelijk nep-sollicitaties naar de slachtoffers verzonden die de infectie startten.

Het wordt steeds duidelijker dat cybersecurity overal ter wereld en in elke sector ‘a very big deal’ is. Aanvallen worden groter en veroorzaken meer impact dan de doorsnee malware die we de afgelopen jaren tegenkwamen. Wil je de vergaande gevolgen en de hoogoplopende kosten vermijden die bij een infectie komen kijken? Laat je IT-infrastructuur dan eens grondig analyseren via een IT check-up en win professioneel advies in.

Interessant topic? Deel deze pagina met je netwerk!